  Reţelele au continuat să crească în timp, si au fost tot mai mult utilizate pentru transferul şi stocarea datelor importante Acest lucru a intensificat necesitatea de tehnologii de securitate mai puternice, care au dus la inventarea firewall-ului Termenului de firewall se referea iniţial la un perete ignifug, de obicei, realizate din piatra sau metal care împiedica flăcările sa se răspândesca În mod similar, în reţea, firewall-urile separa zonele protejate de cele non-protejate Acest lucru previne accesul neautorizat la resursele protejate din reţea Iniţial, listele de acces (ACL), standard, extinse, numerotate sau nominale, au fost singurul mijloc de a acorda protecţie firewall Alte tehnologii firewall au început să se maturizeze la sfârşitul anilor Firewall-ul stateful (DINAMICE) utilizeaza tabele pentru a urmări starea în timp real al sesiunilor end-to-end Firewall-ul stateful ţine seama de starea sesiunii orientate a traficului în reţea Primele firewall stateful au folosit opţiune "TCP established " pentru ACL-uri Mai târziu, ACL-uri reflexivă au fost folosite pentru a reflecta anumite tipuri de traffic inside-to-outside ACL-urile dynamice au fost dezvoltate pentru a deschide o gaura in firewall pentru traficul aprobat pentru o perioadă finită de timp ACL-uri bazate pe timp au fost create pentru a aplica ACL-uri în anumite perioade din zi în zilele specificate ale săptămânii Cu proliferarea de tipuri de ACL, aceasta a devenit tot mai important pentru a putea verifica comportamentul adecvat de acestorACL-uri cu comenzile show şi debug Astăzi există mai multe tipuri de firewall-uri, inclusiv pachete-filtrarea, gateway statefull, cererea (proxy),-translatare de adrese, host-based, transparent, şi firewall-uri hibride Designul modern de reţea trebuie să includă atent plasarea corectă a unu sau mai multor firewall-uri pentru a proteja aceste resurse, care trebuie să fie protejate în acelaşi timp permitand astfel accesul securizat la aceste resurse, care trebuie să rămână disponibil Într-un hands-on de laborator pentru capitol, Configurarea CBAC şi Zone-Based Firewalls, elevii utilizează CLI şi SDM pentru a configura şi testa Context-Based Access Control şi Zone-Based Politica de Firewall Laboratorul se găseşte în manualul de laborator pe Conexiunea la Academia cisco netacad net O activitate Packet Tracer, Configurare IP ACL-uri la atentatele atenuarea, oferă cursanţilor practică suplimentare de punere în aplicare a tehnologiilor introduse în acest capitol În special, elevii configura ACL-uri pentru a se asigura că accesul de la distanţă la routere este disponibil numai de la staţiile de management Routerele Edge sunt configurate cu ACL-uri pentru a atenua atacurile comune in reţea şi aceste ACL-uri sunt testate pentru funcţionarea corectă Într-un al doilea Packet Tracer activitate, Configurarea Context-Based Access Control (CBAC), care învaţă şi configuraţi firewall-ul IOS cu CBAC pe un router perimetru CBAC funcţionalitate este verificat cu ping, Telnet, şi HTTP Ultima activitate Packet Tracer pentru capitol, Configurarea unei Zone de politici bazate pe Firewall (ZPF), a cursanţilor configura o politică ZPF pe un router perimetru ZPF funcţionalitate este verificat cu ping, Telnet şi HTTP Packet Tracer activităţi pentru CCNA Security se găsesc pe conexiune la Academia cisco netacad net    Access Control List (ACL-uri) sunt utilizate pe scară largă în reţele de calculator şi în securitatea reţelei pentru atenuarea atacurilor de reţea şi a controlului traficului in reţea Administratorii utilizează ACL-uri pentru a defini şi controlul traficului bazandu-se pe diversi parametric ai dispozitivelor din reţea Aceşti parametri sunt specifice Layer-elor , , , şi ale modelului OSI Practic orice tip de trafic poate fi definit în mod explicit prin utilizarea unui ACL corespunzător De exemplu, în trecut, tipul câmpului Ethernet din antet-ul cadrului Ethernet a fost folosit pentru a defini anumite tipuri de trafic Un tip Ethernet de x indicat un Reverse Address Resolution Protocol (RARP) cadru Numerotate ACL-uri cu o gamă intre - au fost folosite pentru controlul traficului în funcţie de tipul Ethernet Acesta a fost, de asemenea, comun pentru a crea ACL-uri pe baza adreselor MAC Un ACL numerotat intre - indică faptul că traficul este clasificat şi controlată pe baza adreselor MAC Tipul de clasificare folsit specifica, parametrii de control necesar pentru ACL care putea fi setat De exemplu, un ACL numerotat de la la ar putea fi folosite pentru a bloca un client cu o anumita adresa MAC de la asocierea cu un punct de acces prestabilit Astăzi, cele mai utilizaţi parametri în ACL-urile legati de securitate implica adresele IPv şi IPv , precum şi numerele porturilor TCP şi UDP De exemplu, un ACL poate permite tuturor utilizatorilor cu o anumită adresă de reţea IP sa descărce fişiere de pe Internet folosind FTP securizat Acelasi ACL poate fi folosit pentru a opri toate adresele IP de la accesul tradiţional FTP  ACL-uri standard ACL-uri numerotate de la la sau - sunt ACL-uri standard IPv şi IPv ACL-urile standard examineaza campului sursa al adresei IP din header-ul IP al pachet-ului Aceste ACL-uri sunt folosite pentru a filtra pachetele bazate exclusiv pe informaţiile sursa Layer ACL-uri standard permite sau blocheaza traficul pe baza adresei sursă Aceasta este sintaxa comenzii pentru configurarea unui ACL standard numerotat: Router(config)# access-list { - } {permit | deny} { - } - valoare care specifică numărul ACL Pentru ACL-uri standard, numărul este intre la {permit | deny} - specifică dacă se permite sau se blocheaza traficul de la sursa IP -este adresa IP a sursei cu care trebuie să faca mach - este masca wildcard care se aplica adreselor IP configurate pentru a indica intervalul de adrese la care se aplica ACL-ul  ACL-urile Extended ACL-urile Extended fac mach cu pachetele bazate pe sursa şi destinaţia de Layer şi Informaţiile de Layer pot include portul TCP şi UDP Extended ACL-uri oferă o mai mare flexibilitate şi control asupra accesului in reţea decât ACL-uri standard Aceasta este sintaxa comenzii pentru configurarea unei ACL extins numerotate: Router(config)# access-list { - } {permit | deny} protocol source-addr [source-wildcard] [operator operand] destination-addr [destination-wildcard] [operator operand] [established] Similar cu ACL-uri standard, prima valoare specifică numărul ACL-ului ACL-urile extinse sunt numerotate de la la sau de la - Următoarea valoare specifică dacă, se permite sau se blocheaza în conformitate cu criteriile care urmează A treia valoare indică tipul de protocol Administratorul trebuie să specifice IP, TCP, UDP, sau alte aspecte specifice sub-protocoale IP Adresa IP sursa si masca wildcard determina de unde provine traficul Destinaţie adresa IP şi masca wildcard sunt folosite pentru a indica destinaţia finală a traficului Deşi parametrul port este definit ca opţional, atunci când destinaţia adresa IP şi masca sunt configurate, administratorul trebuie să precizeze numărul portului, care poate fi fi unul oarecare sau un număr de port well-known, altfel tot traficul către această destinaţie va fi abandonat Toate ACL-uri îşi asuma un implicit deny,, în sensul că dacă un pachet nu se potriveşte nici unul dintre criteriile specificate în ACL, pachetul este aruncat Odată ce un ACL este creat, cel puţin o declaraţie permit ar trebui să fie inclusa in interior sau tot traficul va fi aruncat o dată ce ACL-ul este aplicat pe o interfaţă Atât ACL-uri standard cat si cele extins poate fi folosit pentru a descrie pachetele care intră sau ies o interfaţă Lista este parcursa secvenţial Prima declaraţie care se potrivieste opreşte căutare şi defineşte măsurile care trebuie luate Odată ce un ACL IP standard sau extins numerotat este creat, administratorul trebuie să il aplice pe interfaţa corespunzătoare Aceasta este comanda cu care se aplica ACL la o interfaţă: Router(config-if)# ip access-group {in | out} Aceasta este comanda care aplica ACL la o linie vty: Router(config-line)# access-class {in | out}   Este posibil să se creeze un ACL nominal în loc de un ACL numerotat ACL-urile nominale trebuie să fie specificate fie ca standard fie ca extinse Router(config)# ip access-list [standard | extended] Executarea acestei comenzi pune un utilizator în modul de subconfiguration în care sunt introduse comenzile permit şi deny Comenzile permit şi deny au aceeaşi sintaxă ca in ACL -urile numerotate Aveţi posibilitatea să utilizaţi comanda remark care contine comentarii cu privire la intrările în orice listă de acces IP Remarcile fac ACL-urile mai uşor de înţeles de catre administratorul de reţea Fiecare observaţie este limitat la de caractere Remarcă poate fi pusa înainte sau după permit sau deny Ar trebui să fie o coerenta in cazul unei remarci astfel încât sa fie clar care este remarca care descrie permit sau deny Un ACL standard nominal poate fi folosit cu deny si permit Router(config-std-nacl)# deny {source [source-wildcard] | any} Router(config-std-nacl)# permit {source [source-wildcard] | any} Un ACL extins ofera parametri suplimentari Router(config-ext-nacl)# {permit | deny} protocol source-addr [source-wildcard] [operator operand] destination-addr [destination-mask] [operator operand] [established] Avantajele utilizarii ACL-urilor nominale includ faptul ca un administrator poate şterge o intrare într-un ACL nominal intrand în modul de subconfiguration ACL şi punand in fata comenzii no Folosind no in fata unui ACL numerotat intrarea ACL-ului va fi stearsa Un administrator poate adăuga, întrari în mijlocul unui ACL nominal Cu un ACL numerotat, comenzile pot fi adăugate numai la sfârşitul ACL-ului Odată ce declaraţiile ACL sunt create, administratorul activeaza ACL pe o interfaţă cu comanda ip acces-grup, precizând numele ACL-ului Router(config-if)# ip access-group access-list-name {in | out} Un ACL poate fi, utilizat pentru a permite sau a bloca anumite adrese IP de la accesul virtual ACL-urile standard permit ca restricţiile să fie executate asupra iniţiatorului traficului Un ACL extins face acelasi lucru, dar poate aplica,si protocolul de acces, cum ar fi portul (Telnet) sau portul (SSH) ACL-urile extinse access-class acceptă numai cuvântul cheie any ca destinatie Lista de acces trebuie să fie aplicat la portul vty Router(config-line)# access-class access-list-name {in | out}  La sfârşitul unei declaraţii ACL, administratorul are opţiunea de a configura parametrul log R (config)#access-list permit tcp eq log Dacă acest parametru este configurat, software-ul Cisco IOS compară pachetele de date şi găseşte o potrivire în declaraţia listei Router-ul se conectează la orice alta interfata activa, cum ar fi o consola, un buffer intern al router-ului, sau un server syslog Sunt înregistrate mai multe informaţii: Action - permite sau blocheaza Protocol - TCP, UDP sau ICMP Adresa IP - adresele sursa si destinatie Pentru TCP şi UDP - sursă şi destinaţie numerelor de port Pentru ICMP - tipuri de mesaje Mesajele Log sunt generate primul pachet care face meci şi apoi la un interval de cinci minute, după ce primul pachet a facut mach Activarea parametru log pe un router sau switch Cisco afectează serios performanţele dispozitivului respectiv Când vă logati pachetele sunt fie in process-switched fie in fast-switched Parametrul Log ar trebui să fie folosit numai atunci când reţeaua este agresata şi un administrator încerca sa determina cine este atacatorul În acest caz, un administrator ar trebui să permită logare pentru perioada necesară pentru obţinerea de informaţii adecvate şi apoi sa dezactiveze logarea  Mai multe lucruri ar trebui să fie luate în considerare atunci când lucram cu ACL-uri: Implicit deny all- toate ACL-urile Cisco se termina cu un implicit "deny all " Chiar dacă această conditie nu apare explicit intr-un ACL, conditia este acolo ACL Standard filtreaza pachetele - ACL-urile Standard sunt limitate in filtrarea pachetelor numai la adresa sursă ACL-urile Extended ar putea implementa pe deplin o politica de securitate Ordinea conditiilor - ACL-uri au o politica primului ,,venit” Atunci când o conditie este indeplinita , lista nu mai este examinata in continuare Anumite conditii ACL sunt mai particulare decât altele şi, prin urmare, trebuie să fie plasate mai ,,sus” în ACL De exemplu, blocarea intregului trafic UDP in partea de sus a listei opreste pachetele permise SNMP, care utilizează UDP, care este mai jos în listă Un administrator trebuie să se asigure că declaraţiile din partea de sus a ACL nu opreste orice declaraţii găsita mai in josul listei Direcţionarea filtrarii - ACL-uri Cisco au un filtru direcţional care determină dacă pachetele sunt primite (si trebuie trimise spre interfaţă) sau daca pachetele vin de pe o interfata (outbound) pentru a fi examinate Un administrator ar trebui să verifice direcţia in care ACL -ul face filtrarea Modificarea ACL-urilor - Când un router compară un pachet cu un ACL, conditiile ACL-ului sunt examinate de sus în jos Când un router localizează o conditie care face mach, se opreşte prelucrarea şi pachetul este permis sau blocat functie pe conditia din ACL Când noi intrări sunt adăugate la un ACL, acestea sunt întotdeauna adaugate in partea de jos Acest lucru poate face noile intrări inutilizabile, dacă o intrare anterioară este mai generală De exemplu, dacă un ACL are o intrare care blocheaza accesul reţelei / la un server într-o singură linie, dar următoarea linie mai jos permite acces la acel server unui singur host, gazda , hostul va continuare sa fie fi blocat Acest lucru se datorează faptului că router-ul face mach cu pachetele din la reţeaua / şi neagă traficul fără să citească următoarea linie Când o face, nouă conditieACLeste inutilizabila, deci un nou ACL, trebuie creat ACL-ul vechi ar trebui să fie eliminate, iar ACL nou asociat interfaţei router-ului Dacă utilizaţi Cisco IOS Release şi mai târziu, numerele de secventa poate fi folosit pentru a se asigura că o nouă declaraţie se adaugă la ACL în locaţia corectă ACL este procesat de sus în jos pe baza numerelor de secventa a declaraţiilor (de la cel mai mic la cel mai înalt) pachete speciale - router-generated packets (pachetele generate de router), cum ar fi actualizări de rutare, nu fac obiectul conditiilor de ieşire ale ACL pe router În cazul în care politica de securitate necesită filtrarea acestui tip de pachet, ACL-urile de intrare pe routerele adiacente sau alte mecanisme de filtrare, folosind ACL-uri trebuie să facă filtrarea Acum, că sintaxa şi liniile directoare pentru ACL-urile standard si extinse IP sunt definite, care sunt câteva scenarii pentru ACL-uri care oferă o soluţie de securitate?   Determinarea dacă se utilizează ACL-uri standard sau extinse se bazează pe obiectivul general al întregului ACL De exemplu, imaginaţi-vă un scenariu în care tot traficul dintr-un singur subnet, , trebuie să-i fie blocat accesul la un alt subnet, dar tot celelalt trafic să fie permis În acest caz, un ACL standard poate fi aplicat pe interfata Fa / : R (config)# access-list deny R (config)# access-list permit any R (config)# interface FastEthernet / R (config-if)# ip access-group out Toate gazdele din subnetul le este blocat accesul pe interfaţa Fa / catre subnet-ul Acestea sunt parametri din comandă acces-list: indică faptul că acest ACL este o listă standard deny indică faptul că traficul care face mach cu parametrii selectati nu este forward-at este adresa IP a subnetului sursa este masca wildcard Zerouri ( ) indică poziţiile care trebuie să fie verificate în procesul de anding; ( ) indică poziţiile care vor fi ignorate Masca cu zerouri ( ) în primele trei octeţi indică faptul ca acele poziţii trebuie să faca mach indică ultimul octet care va fi ignorat permit indică faptul că traficul de potrivire a parametrilor selectat este transmis any este o abreviere pentru adresa IP a sursei Indicand adresa sursei şi o mască wildcard de ; toate adresele sursă vor face mach Din cauza lui deny any de la sfârşitul tuturor ACL-uri, comanda access-list permit any asigura că numai traficul din subnet-ul este blocat şi că tot celalalt trafic este permis  În comparaţie cu ACL-uri standard, ACL-uri extinse permit anumite tipuri de trafic care urmează să fie blocat sau permis Imaginaţi-vă un scenariu în care traficul FTP dintr-o subreţea trebuie să ajunga intr- un alt subnet În acest caz, este necesar un ACL extins, deoarece un anumit tip de trafic este filtrat R (config)# access-list deny tcp eq R (config)# access-list deny tcp eq R (config)# access-list permit ip any any În acest ACL, accesul FTP este blocat sa ajunga de la subnet –ul / la subnet-ul / Tot celalalt trafic este permis TCP portul este folosit pentru programarea FTP Portul TCP este utilizat pentru transferul de date FTP Ambele porturi sunt refuzate Un permit ip any any este necesar la sfârşitul ACL-ului, altfel, tot traficul este blocat din cauza lui deny any În acest exemplu, cea mai bună plasare a ACL este pe interfaţa inbound Fa / Acest lucru asigură că traficul nedorit FTP este abandonat înainte de a fi prelucrat de router Router(config)# interface fastethernet / Router(config-if)# ip access-group in Tineti minte, cu acest ACL, un permit any any suprascrie deny all de la sfârşitul fiecărui ACL Acest lucru înseamnă că orice alt trafic, inclusiv traficul FTP care provine din reţeaua / destinat oricei reţele ar fi permis cu exceptia reţelei / ,    Direcţia traficului printr-un dispozitiv de reţea este definit de la intrare (inbound) şi coborâ în condiţii (outbound) catre interfeţe Traficul Inbound se referă la trafic care intră în router, înainte ca tabela de rutare sa fie accesata Trafic Outbound se referă la trafic care a intrat router şi a fost procesat de către router pentru a determina unde forward-eaza datele Înainte ca datele sa fie transmise catre interfaţă, un ACL outbound le examineaza În funcţie de tipul de dispozitiv şi tipul de ACL configurat, traficul întors poate fi dinamic urmărit   În plus, este important să păstreze plasarea de ACL-uri în minte Plasarea depinde de tipul de ACL folosit Plasare Extended ACL-urilor - Extended ACL-uri sunt plasate pe routere cât mai aproape posibil de sursa care este filtrata Plasarea Extended ACL-uri prea departe de sursa foloseste ineficient resursele din reţea De exemplu, pachetele vor fi trimise doar pentru a fi abandonate sau blocate Standard ACL plasare - Standard ACL-uri sunt plasate cât mai aproape de destinaţie în care este posibil Standard ACL-urile filtreaza pachete pe baza singurei adrese sursă Plasarea aceste ACL-uri prea aproape de sursa poate afecta negativ pachete prin oprire intregului trafic, inclusiv a traficului valabil   Cel mai adesea, ACL-uri sunt utilizate pentru a preveni o marire de trafic la intrarea într-o reţea În acelaşi timp, acestea permit selectiv unele tipuri de trafic mai sigure, cum ar fi HTTPS (TCP port ), care urmează să fie folosite în scopuri de afaceri Acest lucru necesită, în general, folosirea Extended ACL-urilor şi o înţelegere clară a porturilor care trebuie să fie blocate versus permise Programul Nmap poate fi utilizat pentru a determina care porturi sunt deschise pe un dispozitiv dat De exemplu, un ACL blocheaza POP de la descărcarea de e-mailuri prin Internet de la un server de mail al reţelei companiei, dar permite e-mailurilor sa fie descărcate de pe o statie de lucru din interiorul retelei companiei Ieşirea de o scanare Nmap pe serverul POP depinde de unde provine de scanare Dacă scanarea se face de la un PC din interiorul reţelei, portul POP este deschis (TCP port )    După ce un ACL se aplică pe o interfaţă, este important sa se verifica dacă funcţionează aşa cum trebuie, că traficul care trebuie blocat este blocat şi traficul valabil este permis În timp ce opţiunea log prezinta cine s-a logat ,si cand, aceasta poate fi o povară excesivă a resurselor de pe dispozitivul din reţea Opţiunea log este cel mai bine sa fie utilizata pe o bază interna pentru a verifica sau depana configurarea unui ACL Comanda show ip access-list poate fi folosita ca un mijloc de bază pentru verificarea efectului scontat al unei ACL Cu această comandă, numai numărul de pachete care fac mach pe o anumită intrare (ACE) este înregistrat Comanda show running-config poate fi folosit pentru a vizualiza interfeţe pe care au fost aplicateACL-uri   ACL-urile pot fi configurat din CLI sau folosind SDM ACL-urile standard si extinse pot fi configurate cu ajutorul unui router Cisco şi securitate Device Manager (SDM) Fereastra SDM are două cadre Cadrul About Your Router conţine detalii hardware şi software Cadrul Configuration Overview furnizează detalii curente de configurare pe router, inclusiv interfaţă, firewall, VPN, rutare, şi informaţii IPS Butonul Configure în partea de sus a ferestrei aplicaţiei SDM deschide lista de task -uri Faceţi clic pe butonul Additional Tasks pentru a accesa pagina pentru configurarea ACL-urilor  Regulile definesc modul în care un router răspunde la un anumit tip de trafic Utilizarea Cisco SDM, un administrator poate crea reguli de acces care determina router-ul sa blocheze anumite tipuri de trafic în timp ce pe alte tipuri de traffic sa le accepte Cisco SDM prevede reguli implicite pe care un administrator le poate folosi pentru a crea regulile de acces Un administrator poate vedea, regulile care nu au fost create folosind Cisco SDM, numite reguli externe, şi le poate rula cu sintaxă pentru care Cisco SDM nu are suport, care sunt numite reguli neacceptate Fereastra SDM Rules (ACLs) Summary oferă un rezumat al normelor de configurare a router-ului şi de acces la alte ferestre pentru a crea, edita şi şterge regulile Pentru a accesa această fereastră, alegeţi Configure > Additional Tasks > ACL Editor Acestea sunt tipurile de reguli pe care Cisco SDM le gestionează: Access rules (Regulile de acces) - traficul care poate intra şi ieşi din reţea Un administrator poate aplica regulile de acces la interfeţele router-ului şi la linii vty reguli NAT – Stabileste ce adrese IP private sunt translatate în adrese IP valide in Internet Normele IPsec - Determinaţi care trafic este criptat pe conexiunile securizate Normele NAC - Specifica ce adrese IP sunt admise sau blocate in reţea Normele Firewall - Specifica adresele sursă şi destinaţie şi dacă traficul este permis sau blocat QoS rules - - Specificaţi trafic care aparţine serviciilor de calitatea (QoS), clasa la care este asociata regula Unsupported rules - – Regulile care nu au fost create cu Cisco SDM nu sunt susţinute de către Cisco SDM Aceste reguli sunt citite şi nu pot fi modificate folosind Cisco SDM Externally defined rules - Necreate folosind Cisco SDM, dar sprijinite de Cisco SDM Aceste reguli nu pot fi asociate pe nici o interfata Cisco SDM default rules - reguli predefinite care sunt utilizate de către Cisco SDM wizard  Cisco SDM se referă la ACL-uri ca reguli de acces Utilizand Cisco SDM, un administrator poate crea şi aplica normele standard (ACL-uri standard) şi normelor extinse (extinse ACL-uri) Acestea sunt paşii pentru configurarea unei reguli standard folosind Cisco SDM: Pasul Alegeţi Configure > Additional Tasks > ACL Editor > Access Rules Pasul Faceţi clic pe Add Apare o fereastră Add a Rule Numai interfeţele cu un statut de up / up vor fi listate în lista drop-down Pasul În fereastra Add a Rule, introduceţi un nume sau un număr în câmpul Name/Number Pasul Din lista de tipuri, alegeti norma Standard Rule,Optional introduceţi o descriere în câmpul Description Pasul Faceţi clic pe Add Apare fereastra Standard Rule Entry Pasul Din lista Select an Action, alege permit sau deny Pasul Din lista Type, alegeţi un tip de adresă: A Network - se aplică la toate adresele IP într-o reţea sau subreţea A Host Name or IP Address- Se aplică la o anumita gazda sau la adresa IP Any IP address - Se aplică la orice adresă de IP Pasul În funcţie de ceea ce a fost selectat din lista Type, trebuie să fie completate aceste domenii suplimentare: IP Address - dacă Network a fost selectat, introduceţi adresa IP Wildcard Mask - dacă Network a fost selectat, specificaţi o mască de wildcard din lista Wildcard derulantă sau introduceţi o anumita masca wildcard Hostname / IP - dacă A Host Name or IP Address a fost selectat, introduceţi numele sau adresa IP a gazdei În cazul în care este introdus un nume de gazdă, router trebuie să fie configurat utilizand un server DNS Pasul (Opţional) Introduceţi o descriere în câmpul Description Descrierea trebuie să fie mai mică de de caractere Pasul (Opţional) Verificaţi Log Matches Against this Entry În funcţie de modul în care setările syslog sunt configurate pe router, meciurile sunt înregistrate în buffer-ul local de logare, trimise la un server syslog, sau ambele Pasul Faceţi clic pe OK Pasul Continuaţi adăugarea sau editarea regulilor până cand regula standard este completă Dacă în orice moment ordinea dintre menţiunile din listă de intrare trebuie să fie rearanjate, utilizaţi butoanele Move Up si Move Down  După ce lista Rule Entry este completa, următorul pas este să se aplice regula pe o interfaţă Acestia sunt paşii pentru aplicarea unei regulipentru o interfaţă: Pasul Din fereastră Add a Rule, faceţi clic pe Associate Va apare fereastra Associate cu o de interfaţă Pasul Din lista Select an Interface, alege interfaţa la care această regulă va fi aplicată Numai interfeţele cu un statut de up / up vor aparea în lista Pasul Din secţiunea Specify a Direction, faceţi clic pe intrare sau de ieşire În cazul în care router-ul verifica pachetele primite pe interfaţa, faceţi clic pe Inbound În cazul în care router-ul transmite pachete pe la interfaţa de ieşire înainte de a le compara cu intrările în regula de acces, faceţi clic pe Outbound Pasul În cazul în care o regulă este deja asociata cu o interfaţa desemnata în direcţia dorită, o casetă de informaţii apare cu următoarele opţiuni: Cancel Continuaţi operaţiunea prin adăugarea noii reguli la regula de acces care se aplică deja pe interfaţa Anularea regulii existentă din interfaţa şi asociarea noii reguli  Pentru a vizualiza comenzile IOS generate de SDM şi trimise la router, vizualizati fişierul running-configuration selectand View din bara de meniu, urmată de Running Config Pentru a configura ACL-uri care se pot ocupa de trafic în ambele sensuri pentru aplicaţiile bazate pe TCP, există mai multe soluţii IOS   De-a lungul timpului, inginerii au creat mai multe tipuri de filtre sofisticate pe baza unor parametri din ce în ce mai precisi Inginerii au extins domeniul platformelor şi gama de ACL-uri care pot fi prelucrate Aceste îmbunătăţiri au permis profesioniştilor să pună în aplicare soluţii firewall de vârf de, fără a sacrifica performanţele reţelei Într-o reţea modernă, un firewall de reţea trebuie să fie plasat între inside si outside Ideea de bază este că tot traficul din exterior ar trebui să fie blocat la intrarea în interior cu excepţia cazului în care este permisă în mod explicit de catre un ACL, sau în cazul în care se intoarce de trafic iniţiat din interiorul reţelei Acesta este rolul fundamental al unui firewall de reţea, Multe aplicaţii comune se bazează pe TCP, care construieşte un circuit virtual între două puncte Prima generaţie de soluţii de filtrare a traficului IOS in două sensuri pe circuite virtuale TCP a folosit cuvintul cheie established pentru ACL-urile extinse IP Introdus în , cuvintul cheie established pentru ACL-uri extinse IP activa un firewall de reţea primitiv creat pe un router Cisco Acesta bloca tot traficul care venea din Internet, cu excepţia răspunsului traficul TCP asociate cu traficul TCP iniţiate din interiorul reţelei Cea de a doua generaţie de soluţii IOS pentru filtrare a fost ACL-urile reflexive ACL-uri Reflexiv au fost introduse în Aceste ACL-uri filtrau trafic pe baza adreselor sursă şi destinaţie, şi numerul de port, şi urmăreau sesiunile Sesiune de filtrare reflexive foloseau filtre temporare care sunt eliminate atunci când o sesiune depaseste timpul acordat Opţiunea established şi ACL-uri reflexive sunt exemple de ACL-uri complexe  Aceasta este sintaxa pentru opţiunea unei sesiuniTCP established într-un ACL extins IP numerotat Router(config)# access-list { - } {permit | deny} [source-wildcard] [operator operand] destination-addr [destination-wildcard] [operator operand] [established] Cuvântul cheie established forţeaza router-ul sa verifice dacă este setat TCP ACK sau flagul de control RST este setat Daca bitul ACK, este setat traficul TCP este permis in interior Dacă nu, se presupune că traficul este asociat cu o conexiune nou iniţiata din exterior Folosind cuvântul cheie established nu folosim un firewall stateful pe router Nu există informaţii stratful care sa urmăreasca traficul iniţiat din interiorul reţelei Toti parametrii established nu permit nici unui segment TCP cu flagul de control Router-ul nu ţine cont de convorbiri pentru a determina dacă traficul este traficul revenit asociat cu o conexiune iniţiată din interiorul reţelei Prin urmare, folosind cuvinte cheie established permitem traficului sa revina într-o reţea printr-o gaura facuta in router Hackerii pot profita de aceasta gaura prin utilizarea unui generator de pachete sau un scaner, cum ar fi Nmap, si sa se furişeze pachete TCP într-o reţea de deghizandu-le ca întorcându-se din trafic Hackerii realiza acest lucru cu ajutorul generatorului de pachete pentru a seta bitul adecvat sau biţi în domeniul controlului TCP Opţiunea established nu se aplică traficului UDP sau ICMP, deoarece traficul UDP si ICMP nu se bazeaza pe flaguri de control aşa cum este folosit in traficul TCP  În ciuda gaurii de securitate, cuvintul cheie established oferă o soluţie mai sigură, deoarece un meci are loc numai în cazul în pachet TCP are ACK-ul sau RST control setate R (config)# access-list permit tcp any eq established R (config)# access-list permit tcp any eq R (config)# access-list deny ip any any R (config)# interface s / / R (config-if)# ip access-group in În cazul în care cuvântul cheie established nu a fost folosit, atunci orice trafic TCP cu portul sursa va fi admis Cu cuvântul cheie established, doar traficul din portul sursa cu URG ACK, FIN, PSH, RST, SYN, sau flagu-ul TCP de control setat este permis Aşa cum este tipic cu o configuraţie firewall, tot traficul de intrare este oprit cu excepţia cazului in care în mod explicit e permis (SSH, portul , traficul în acest caz) sau cu excepţia cazului în care acesta este asociat cu traficul initiat din interiorul retelei (traficul HTTPS în acest caz) Orice trafic TCPcu portul sursa iniţiat din afara reţelei, cu flagul de control setat adecvat este permis in interior  ACL-urile Reflexiv au fost introduse de Cisco IOS în , aproximativ la un an după ce opţiunea TCP a devenit disponibile ACL-urile reflexive asigura o formă mai adevărată a sesiuni de filtrare decât este posibil cu TCP established ACL-urile reflexive sunt mult mai greu de falsificat, deoarece sunt mai multe criterii de filtrare care trebuie să fie indeplinite înainte ca un pachet sa fie permis in interior De exemplu, la adresele sursa si destinatie şi la numere de port sunt verificate, nu numai biţii ACK şi RST De asemenea, sesiunea de filtrare utilizează filtre temporare care sunt eliminate atunci când o sesiune este incheiata Aceasta adaugă o limitare de timp în posibilitatea de atac a unui hacker Cuvântul cheie established este disponibil numai pentru protocoalele din stratul superior luiTCP Alte protocoale strat superior, cum ar fi UDP si ICMP, trebuie să permită fie tot traficul de intrare sau sa defineasca toate sursele posibile admise şi de destinaţie; şi toate perechile ,adresa gazdă port pentru fiecare protocol Cea mai mare limitare de ACL-uri standard si extins este că acestea sunt concepute pentru a filtra unidirecţional, mai degrabă decât conexiunile bidirecţionale ACL-uri standard si extins nu urmaresc statul unei conexiuni Dacă cineva trimite dîn interior trafic catre Internet, este dificil să se permită traficului sa se întoarce în condiţii de siguranţă înapoi în reţea fără a deschide o gaura mare pe router ACL-urile reflexiv au fost dezvoltate pentru acest motiv ACL-uri Reflexiv permite unui administrator sa efectueze sesiuni reale de filtrare pentru orice tip de trafic IP ACL-urile reflexive lucreaza utilizând controlul accesului temporar al intrărilor (ACE-urile), introduse într-o ACL extins, care este aplicat pe interfata externa a routerului Atunci când sesiunea se încheie intrarea ACL-ului este eliminata din configuraţia ACL pe interfeţa externe Acest lucru reduce expunerea reţea la atacuri DoS Pentru a face acest lucru, un ACL numit extins examinează traficul existent in reţea ACL pot fi aplicate de intrare pe o interfaţă internă sau de ieşire pe o interfaţa externă ACE-urile examineaza traficul asociate cu o noua sesiune folosind parametrul reflect Bazat pe aceste declaraţii (folosind reflect), ACE-urile de conectare sunt construite dinamic pentru a permite întoarcerea traficului Fără reflect, traficul returnare este aruncat în mod implicit De exemplu, un administrator ar putea configura declaraţii ACL să examineze numai conexiuni HTTP, permiţând astfel numai ACE-urile temporare reflexive sa fei create pentru traficul HTTP Deoarece traficul care pleca din reţea, face mach cu o declaraţie permis cu un parametru reflect,, o intrare temporară se adaugă la ACL-ul reflexivă Pentru fiecare permit-reflect, router-ul construieste un ACL separat reflexiv Un ACE reflexiv este o intrare inversata in care sursa şi destinaţie se inverseaza intre ele De exemplu, în cazul în care un ACE reflexiv este creat un utilizator pe o staţie de lucru cu adresa IP face telnet la , în cazul în care numărul de port sursă este de R (config-ext-nacl)# permit host eq host eq Orice ACE-urile temporare reflexive, care sunt create conţin permit, pentru a permite traficului sa se întorcâ in aceeasi sesiune  Pentru a configura un router sa utilizeze ACL-uri reflexivă implică doar câţiva paşi: Pasul Creaţi un ACL intern care caută noi sesiuni de outbound şi creează ACE-urile temporare reflexive Pasul Creaţi un ACL extern care utilizează ACL-uri reflexive ca sa examineze traficul care s-a intors Pasul Activati ACL-urile nominale pe interfeţele corespunzătoare Aceasta este sintaxa pentru un ACL intern Router(config)# ip access-list extended internal ACL name Router(config-ext-nacl)# permit protocol source-addr [source-mask] [operator operand] destination-addr [destination-mask] [operator operand] [established] reflect reflexive ACL name [timeout seconds] De exemplu, aceste comenzi sunt potrivite pentru utilizatorii interni care navigheaza pe Internet cu un browser web şi bazându-se pe DNS R (config)# ip access-list extended internal ACL R (config-ext-nacl)# permit tcp any any eq reflect web-only-reflexive-ACL R (config-ext-nacl)# permit udp any any eq reflect dns-only-reflexive-ACL timeout Cisco IOS creează doua ACE-uri reflexive care păstreaza informaţiile sesiunii pentru conexiunile outbound web (web-doar-reflexiv-ACL) şipentru interogări DNS (DNS-doar-reflexiv-ACL) Observaţi că este setat un timeout de secunde pentru interogări DNS Dupa construirea ACL-ului extins internă nominal, care creează intrările temporare ACE-reflexive, trebuie să fie menţionat traficul care se intoarce în reţea Acest lucru este realizat prin crearea unui al doilea ACL extended nominal În acest ACL nominal, utilizaţi pentru a evalua situaţia de referinţă ACE-reflexiv, care au fost create de la ACL-ul intern Router(config)# ip access-list extended external ACL name Router(config-ext-nacl)# evaluate reflexive ACL name Continuand exemplul cu HTTP şi traficul DNS, acest lucru creează o sintaxă ACL externa care opreste tot traficul care provin din exterior, dar permite întoarcerea traficului HTTP si DNS R (config)# ip access-list extended external ACL R (config-ext-nacl)# evaluateweb-only-reflexive-ACL R (config-ext-nacl)# evaluatedns-only-reflexive-ACL R (config-ext-nacl)# deny ip any any Ultimul pas este de a aplica ACL-urile R (config)# interface s / / R (config-if)# description connection to the ISP R (config-if)# ip access-group internal ACL out R (config-if)# ip access-group external ACL in ACL-urile Reflexiv a reprexentat prima solutie pentru filtrare sesiunilor pe routere Cisco ACL-urile reflexiv sunt unul dintre multele tipuri de ACL-uri complexe sprijinite pe echipamentele de retea Cisco Unele ACL-uri complexe sunt concepute pentru a permite conexiuni dinamice prin routere care urmează să fie construit pe o bază per-utilizator ACL-uri Altele complexe sunt activate automat la anumite date şi anumite orele   ACL-uri dinamice, cunoscute sub numele de ACL-uri lock-and-key, au fost adăugate ca o opţiune de Cisco IOS în , înainte de şi ACL-urile de logare si ACL-uri reflexive sa devina disponibile ACL-uri dinamice sunt disponibile doar pentru traficul IP ACL-urile dinamice sunt dependente de conectivitatea Telnet, de autentificare (locala sau la distanţă), şi de ACL-urile extinse Configurarea ACL –urilor dinamic incepe cu aplicarea unui ACL extins pentru a bloca traficul prin router Utilizatorii care doresc să traverseze router sunt blocati până când utilizează conectarea prin Telnet la router si sunt autentificati Conexiunea Telnet este apoi eliminata, şi-o singură intrare dinamica se adaugă la ACL-ul extins existent Aceasta permite traficul pentru o anumită perioadă Atât timeout inactiv şi absolute sunt posibile Un motiv de a utiliza ACL-uri dinamice este de a oferi unui anumit utilizator de la distanţă acces la un anumit host din interiorul reţelei Un alt motiv pentru a utiliza ACL-uri dinamice este atunci când un subset de gazde pe o retea locala trebuie sa acceseze o gazda dintr-o reţea de la distanţă, care este protejat de un firewall ACL-uri dinamice oferi aceste beneficii de securitate peste ACL-uri standard şi extins statice: Mecanism Challenge pentru autentificarea utilizatorilor individuali Gestionarea simplificată în internetworks mari procesare redusa a router-ului pentru ACL-uri Puţine şanse de spargere a reţelei de hackeri Crearea de acces dinamic pentru utilizatori prin firewall, fără a compromite alte restrictii de securitate configurate  O combinaţie de user-prompted şi dispozitiv automatizat apărea când un ACL dinamic este pus în aplicare şi invocat În primul rând, un utilizator de la distanţă trebuie să deschidă o conexiune Telnet sau SSH pe router ACL extern al router-ului trebuie să permită aceasta conexiune Router solicită utilizatorului un nume de utilizator şi o parolă, pe care utilizatorul trebuie să o introducă Apoi, router-ul autentifică conexiunea folosind fie numele de utilizator din baza de date locala definite cu comanda username, un server AAA folosind RADIUS sau TACACS +, sau comanda password pe liniile vty Dacă autentificarea este de succes, Telnet sau o conexiune SSH este reziliata, deoarece funcţia de conectare este doar pentru autentificare După ce utilizatorul se autentifică cu succes, Cisco IOS adaugă o intrare ACL dinamic care acordă utilizatorului acces la resursele interne configurate Nu este posibil ca politicile de acces să le setam per-utilizator În schimb, administratorul defineşte o politică pentru toţi utilizatorii dinamici ACL, şi această politică unică se aplică tuturor utilizatorilor autentificaţi În cele din urmă, utilizatorul poate accesa resursele interne care altfel ar fi blocate fără intrarea dinamica ACL  Există câţiva paşi de bază pentru crearea unui ACL dinamic: Pasul Creaţi un ACL extins Un ACL dinamic suportă atât ACL-uri numerotate cat şi cele nominale extinse Una dintre primele menţiuni în ACL permite accesul Telnet sau SSH la o adresa IP de pe router pe care utilizatorii externi o pot folosi De asemenea, cel puţin, o intrare substituenta este creat în ACL Autentificarea utilizatorului de succes creează această intrare dinamic Pasul Definiţi autentificarea Un ACL dinamic sprijină aceste metode de autentificare: locale (baza de date numele de utilizator), un server extern AAA, şi parola linie De obicei, parola linie nu este folosita, deoarece toţi utilizatorii trebuie să utilizeze aceeaşi parolă Pasul Permiteti autentificarea dinamică Acest lucru se întâmplă pe liniile vty de router Când este activat, router-ul poate crea intrări dinamice pe interfata ACL-ului Aceasta este comanda pentru a crea intrarea ACL dinamica Router(config)# access-list { - } dynamic dynamic ACL name [timeout minutes] {permit | deny} protocol source-addr [source-wildcard] [operator operand] destination-addr [destination-wildcard] [operator operand] [established] Cuvintele cheie dynamic permite unui administrator să specifice numele ACL-urilor dinamice care urmează să fie utilizate Aceste nume trebuie să fie unice între toate ACL-urile nominale de pe router Parametrul timeout este opţională Acesta precizează un timeout absolut pentru intrarea dinamica in care un utilizator realizeaza autentificarea Timeout poate varia de la la minute       Două timeout-uri sunt asociate cu intrări ACL dinamice: absolut şi inactiv(idle) Timer-ul absolută este specificat în intrarea dinamica ACL Valoarea timeout inactiv este specificată în comandă autocommand, care permite autentificarea lock-and-key de pe liniile de vty Dacă timeout-urile nu sunt specificate, implicit nu este niciodată timpul de intrare Prin urmare, se recomandă ca un gol sau un timeout absoluta sa fie configurat În urma parametrul timeout în declaraţia ACL, specificaţi care trafic de utilizator este permis În mod normal, adresa IP a utilizatorului extern este necunoscuta, deci utilizaţi cuvântul cheie any După crearea ACL-ului extins pentru a permite Telnet şi / sau SSH şi a intrărilor dinamica, activati ACL-ul pe o interfata a router-ului cu comanda ip access-group Cu o bază de date cu nume de utilizator local configurata, ultimul lucru pe care trebuie să-l faceţi este să activaţi autentificarea lock-and-key de pe liniile de vty Router(config)# line vty Router(config-line)# autocommand access-enable host [timeout minutes] Comanda autocommand access-enable specifică autentificarea lock-and-key După ce un utilizator s-a autentificat cu succes, temporar intrarea ACL este introdus in ACL-ul extins Această intrare este pus la substituentul parametrul dinamic în ACL-ul extins Intrarea temporară se adaugă doar pe interfata la care utilizatorul se conecteaza Fără comanda autocommand access-enable, router-ul nu va crea intrări temporare in ACL Parametrul host este opţional Prin specificarea acestui parametru, Cisco IOS înlocuieşte intrarea ACL dinamica a cuvintului cheie any cu orice adresa de IP a utilizatorului În cazul în care ACL extinsă se aplică inbound, cuvantul cheie any este înlocuit cu adresa de IP a utilizatorului, dacă este aplicată outbound, cuvintul destinaţie any este înlocuit Parametrul timeout opţional este folosit pentru a seta timeout-ul pentru intrarea temporară ACL a utilizatorului   Un alt ACL complex util este time-based ACL ACL-uri bazate pe timp, au fost introduse la Cisco IOS în , si sunt similare cu ACL-uri extinse în funcţie, dar ele permit controlul accesului pe baza de timp Time-based ACL permite un trafic să fie limitat în funcţie de ora din zi, ziua din săptămână, sau ziua din lună ACL-uri bazate pe timp oferă control profesionalde securitate care permite mai mult decat blocarea accesului la resurse Uneori este necesar sa deschidem o gaură în filtrul unui router pentru a permite un anumit tip de trafic Aceasta gaura nu ar trebui să fie deschisa pe termen nedefinit De exemplu, utilizatorilor le-ar putea fi permis accesul la Internet in timpul pranzului, dar nu în timpul orelor obişnuite ACL-uri bazate pe timp permit aplicarea acestui tip de politică ACL-uri bazate pe timp permite, de asemenea, specialistilor in securitate sa controleze mesajele de logare Intrările ACL se pot loga la anumite ore din zi, dar nu în mod constant Administratorul poate bloca accesul fără a analiza jurnalele care sunt generate în timpul orelor de vârf Time-based ACLs sunt o extensie de ACL-uri numerotate şi nominale extinse Administratorul creează intrări bazate pe timp şi utilizează parametrul timp-range pentru a specifica perioada de timp în care declaraţia ACL este valabilă Perioada de timp specificata, poate fi recurenta sau o instanţă specifică care sa se întâmplă numai o singură dată    Când creaţi un interval de timp, cu comanda time-range, aceasta trebuie să aibă un nume unic Numele trebuie să înceapă cu o literă şi nu poate conţine un spaţiu Folosiţi acest nume mai târziu pentru a asocia unei declaraţii specificeACL-ul cu aceast interval Executati comanda time-range router în ACL modul sub-configurare În acest mod, două tipuri de zone pot fi specificate: o singură dată (absolut) şi recurente (periodice) Acestea sunt comenzi pentru a crea un interval de timp: Router(config)# time-range time range name Router(config-time-range)# absolute [start time start date] [end time end date] Router(config-time-range)# periodic day of the week hh:mm to [day of the week] hh:mm Comanda absolute specifică o singura perioadă de timp pentru care intervalul de timp este valabil ACL că declaraţiile de referinţă la acest interval de timp nu sunt folosite după această perioadă Administratorul poate specifica o perioadă de început, o perioada timp, sau ambele Timpul este specificat în timp de de ore: hh: mm, orele in intervalul - şi minutele in gama de - De exemplu, este reprezentat ca ora : Data este specificat ca luna anul zi A doua zi este specificat ca un număr de - ; lună este numele a lunii, cum ar fi luna mai, iar anul este o valoare de patru cifre, cum ar fi Exemplul este data noiembrie şi iulie Dacă timpul de pornire este omis, implicit este ora curentă de pe router În cazul în care timpul de încheiere este omis, implicit acesta este la ora : decembrie Comanda periodic specifică o perioadă de timp recurente pentru care intervalul de timp este valabil Mai multe comenzi periodic sunt permise în acelaşi interval de timp Specificaţi un momenr de început şi unul de final Timp de încheiere poate fi într-o altă zi Primul parametru specificat este ziua săptămânii: Luni Marţi Miercuri Joi Vineri sâmbătă duminică de zi cu zi (in fiecare zi) zilele lucrătoare (de luni până vineri) weekend (sâmbătă şi duminică) Parametrul următor este începutul,perioadei specificat ca hh: mm Aceasta este urmată de la parametrul cu care se încheie perioada Dacă parametru zi a săptămânii este omis, implicit este configurata ziua săptămânii cu care începe perioada contorizata Dupa acesta este momentul final, specificat ca hh: mm Este important să reţineţi că ceasul router-ul trebuie să fie stabilite pentru ca această comandă să funcţioneze conform aşteptărilor După crearea intervalelor de timp, administratorul trebuie să le activeze Acest lucru se face prin adăugarea parametrului time-range in conditiile ACL Acest lucru este sprijinit atât în ​​ACL-uri nominale cat şi in cele numerotate extins Aceasta este sintaxa de configurare pentru un ACL numerotate Router(config)# access-list { - } {permit | deny} protocol source-addr [source-mask] [operator operand] destination-addr [destination-mask] [operator operand] [established] [log | log-input] [established] [time-range name of time range] Intervalul de timp trebuie să fie adăugate la declaraţia ACL Atunci când acest lucru este realizat, declaraţia ACL este procesată de Cisco IOS numai daca timpul de pe router se încadrează în termenul stabilit de comenzile periodice sau absolută, definită în configurarea time-range  Un administrator de reţea are o situaţii care necesită time-based ACL Utilizatorii nu le este permis accesul la Internet în timpul orelor de program, cu excepţia perioadei din timpul prânzului şi după ore, până la cazul în care biroul se închide Acesta este un ACL time-based ACL care face acest lucru: R (config)# time-range employee-time R (config-time-range)# periodic weekdays : to : R (config-time-range)# periodic weekdays : to : R (config-time-range)# exit R (config)# access-list permit ip any time-range employee-time R (config)# access-list deny ip any any R (config)# interface FastEthernet / R (config-if)# ip access-group in R (config-if)# exit În acest exemplu, comenzile IP permit accesul la Internet în timpul prânz şi după ore de lucru ACL permise de trafic angajat la Internet în timpul prânz şi după ore de lucru -   Pentru a verifica configurarea ACL-ului, utilizaţi comanda show access-lists Router# show access-lists [access-list-number | access-list-name] Comanda de ieşire arată cât de multe pachete au fost comparate cu fiecare intrare în ACL, care să permită utilizatorului să monitorizeze pachetele special, care au fost permise sau refuzate Pentru a depana o configuraţie ACL, utilizaţi comanda debug ip packet Router# debug ip packet [access-list-number] [detail] Comanda debug ip packet este utila pentru a analiza mesajele care călătoresc între gazdele locale şi cele de la distanţă Aceasta comanda surprinde pachetele care sunt in procesul de comutate, inclusiv cele primite, generatesau sau transmise Cu toate acestea, utilizarea comenzilor debug necesită alocarea unor resurse din sistem, cum ar fi memoria şi puterea de procesare şi în situaţii extreme, poate cauza sollicitarea puternica a sistemului Utilizarea comenzii debug trebuie sa se faca cu prudenţă în reţelele de producţie Pentru a reduce impactul comenzii debug, poate fi utilizat un ACL pentru a defini selectiv traficul care trebuie să fie examinat Router# debug ip packet [access-list-number] [detail] De exemplu, in această configuraţie comanda debug ip pachet afecteaza numai pachetele între gazdele şi R (config)# access-list permit tcp host host R (config)# access-list permit tcp host host R (config)# end R # debug ip packet detail Cu această configuraţie, debug ip packet detail este pentru lista de acces Comanda arată câte pachete au fost comparate cu fiecare intrare în ACL permitand astfel utilizatorului să monitorizeze anumite pachetele, care au fost permise sau blocate Opţiune detail afişează informaţii de depanare despre pachetele IP Această informaţie include tipurile de pachete şi coduri precum şi numerele de port sursă şi destinaţie  Un ACL contorizeaza câte pachete fac mach (permise sau negat), pe fiecare linie de ACL Acest număr este afişat ca numarul de mach-uri Prin verificarea numărului de meciuri cu comanda show access-lists, un administrator poate determina dacă filtrarea configurata pe ACL-urile standard şi extinse este corespunzătore De exemplu, dacă pe o intrare sunt mai multe meciuri semnificativ decât era de aşteptat, intrare poate fi prea largă Acest lucru ar putea indica faptul că ACL nu are efectul scontat asupra traficului din reţea  În ieşire debug ip packet, blocarea pachetelor este afişata în mod explicit Acest lucru permite determinarea amanuntita în timp real a succesului aplicarii ACL-ului "g" în ieşire debug ip packet indică urmatorul hop Ieşire debug poate fi anulata cu comanda undebug all Uneori este nevoie de putin timp pentru a opri aceasta comanda in derulare, în funcţie de comenzile care au fost configurate in debug şi volumul de trafic care traversează router-ul Verificarea şi comenzile rezolvari de probleme pentru ACL-uri sunt relativ uşor de utilizat, şi nu sunt prea multe comenzi de tinut minte Este esenţial ca ACL-uri sa fie testate după ce au fost puse în functiune pentru a ne asigura de funcţionarea corespunzătoare a acestora   ACL-uri pot fi folosite pentru a atenua multe ameninţări de reţea: IP spoofing adresa, inbound şi outbound atacuri DoS TCP SYN atacuri Smurf DoS ACL-uri poate filtra, de asemenea, traficul următor: Mesajele ICMP, inbound şi outbound Traceroute Atacurile de tip DoS tind să fie cele mai devastatoare atacuri de reţea Cisco IOS suportă mai multe tehnologii concepute pentru a minimiza daunele cauzate de atacuri de tip DoS Cele mai multe atacuri sunt un anumit tip de spoofing Există mai multe clase de adrese IP well-known care nu ar trebui să fie privite ca sursă adrese IP pentru traficul care intră reţeaua unei organizaţii Există ACL-uri specifice, care sunt uşor de implementat, care previn atacurile fiind obţinute cu aceste tipuri de adrese ICMP a fost folosit pe scară largă în atacuri de reţea de-a lungul anilor Cisco IOS suportă acum tehnologii specifice pentru a preveni atacurile pe bază de ICMP care afectează o reţea   Ca regulă, administratorii nu ar trebui să permită nici unui pachet care conţine adresa IP sursă de la orice gazda interna sau de la o reţea privată sa intre in reţea Un administrator poate crea un ACL care opreste toate pachetele ce conţin următoarele adrese IP în domeniul sursa a lor: Orice host cu adres locala ( / ) Orice adresa rezervata privata (RFC , Adresa de repartizare pentru privare de pe Internet) Orice adresele în intervalul adresa IP multicast ( / ) Administratorii nu ar trebui să permită ieşirea nici unui pachete IP cu adresa altei surse decât adresă IP valida din reţeaua internă Un administrator poate crea un ACL care sa permita doar acele pachete care conţin adresele sursa din interiorul reţelei şi le blocheaza pe toate celelalte  DNS, SMTP şi FTP sunt servicii comune care de multe ori trebuie să fie permisă printr-un firewall Este, de asemenea, destul de cunoscut că un firewall trebuie să fie configurat sa permite trecerea protocoalelor care sunt necesare pentru administrarea router-ului De exemplu, protocoalele necesare traficului dintr-un router interne, pentru întreţinerea unui router extern Telnet, SSH, syslog, şi SNMP sunt exemple de servicii care pe un router ar trebui să fie incluse SSH este întotdeauna preferat comparativ cu Telnet  Hackerii utiliza mai multe tipuri de mesaje ICMP pentru a ataca reţelele Cu toate acestea, diverse aplicaţii de gestionare folosesc mesajele ICMP pentru a aduna informaţii Managementul reţelei foloseste mesaje ICMP care sunt generate automat de router Hackerii pot folosi pachetele ICMP echo pentru a descoperi subreţele şi hosturi intr- o reţea protejate şi pentru a genera atacuri DoS flooding Hackerii pot utiliza redirecţionarea mesajelor ICMP pentru a modifica tabele de rutare gazdă Atât ICMP echo şi redirecţiona mesaje ar trebui să fie blocate la intrare unui router Mai multe mesaje ICMP sunt recomandate pentru operarea reţelei in conditii corespunzătoare şi ar trebui să fie permise : Echo reply - - Permite utilizatorilor să dea ping intr-un host externe Source quench - solicită expeditorului să scadă traficului de mesaje Unreachable - acestea sunt generate pentru pachetele care sunt blocate de către un ACL Mai multe mesaje ICMP sunt necesare pentru functionarea reţelei in conditii corespunzătoare şi ar trebui să fie permise sa iasa din retea: Echo - Permite utilizatorilor să dea ping in gazde externe Parameter problem - Informează hostul de problemele in antetul pachetului Packet too big -Necesar pentru descoperirea unitatii maxime de transmisie a pachetului (MTU) Source quench - blochează caderea traficul când este necesar Ca o regulă, blocati toate celelalte tipuri de mesaje ICMP de ieşire ACL-uri sunt folosite pentru a bloca adresa IP spoofing, selectiv permitand anumite servicii prin intermediul unui firewall, şi numai mesajele ICMP necesare ACL-uri sunt un instrument omniprezentă în domeniul securităţii reţelelor Dar există şi alte tehnologii care au fost dezvoltate pentru IOS Cisco pentru a îmbunătăţi funcţionalitatea firewall-urilor Care sunt tehnologiile care îmbunătăţesc ACL-uri tradiţionale, în crearea unui perimetru securizat pentru reţeaua unei organizaţii?   Termenul Firewall iniţial se referea la un perete ignifug (de obicei din piatra sau metal), care împiedica răspândirea flăcărilor Mai târziu, termenul firewall a fost asociat cu o foaie de metal care separa compartimentul motorului unui vehicul sau aeronave de compartimentul pentru pasageri În cele din urmă termen a fost adaptat pentru a fi utilizate cu reţele de calculatoare: un paravan de protecţie împiedică trafic nedorite sa intre în interiorul unei reţele Un firewall este un sistem sau un grup de sisteme care impune o politică de control al accesului între reţele Acesta poate include opţiuni, cum ar fi un router cu filtrare de pachete, un switch cu două reţele VLAN, şi mai multe hosturi cu software-ul firewall Firewall-urile sunt lucruri diferite pentru oameni şi organizaţii diferite, dar toate firewall-uri au în comun unele proprietăţi: Rezistent la atacuri punctul de tranzit între reţelele (toate fluxurile trec prin firewall) Impunerea unei politica de control al accesului În , DEC a creat prima reţea firewall sub formă de filtru de pachete Aceste firewall-uri timpurii inspectau pachetele pentru a vedea dacă acestea respecta setul de reguli, cu opţiunea redirecţionare sau aruncare a pachetelor Acest tip de filtrare de pachete, cunoscut sub numele de stateless filtering, are loc indiferent dacă un pachet este parte a unui flux de date existent Fiecare pachet este filtrat pe baza exclusiv a valorii anumitor parametri în antet pachet, similar cu modul în care pachetele sunt filtratee de ACL-uri za În , AT & T Bell Laboratories a dezvoltat primul statefull firewall Statefull firewall filtreaza pachetele pe baza informaţiile care curg prin firewall Firewall stateful este capabil sa determina dacă un pachet face parte dintr-un flux de date existent Regulile statice, ca şi în firewall filtre de pachete, sunt completate cu norme create dinamic în timp real pentru a defini aceste fluxuri active Stateful firewall ajuta la atenuarea atacurilor DoS care exploateze conexiuni active prin intermediul unui dispozitiv de reţea Firewall-urile originale nu au fost dispozitive independente, dar routerele sau serverele cu software-ul adăugat au caracteristici de functionalitate firewall De-a lungul timpului, mai multe companii au dezvoltat firewall-uri independente Dispozitive dedicate firewall active de routere şi switch-uri elibereaza memoria şi procesorul de aceasta activitate intensă de filtrare Routere-le moderne, cum ar fi Cisco Integrated Services Routers (ISRs), pot fi folosite ca firewall-uri sofisticate pentru organizaţii care nu pot solicita un firewall dedicat  Există mai multe avantaje pentru care folosim un firewall într-o reţea: evitarea expunerii hosturilor sensibile şi a aplicaţiilor pentru utilizatori care nu sunt de încredere evitarea exploatării defectelor unui protocol blocarea datele rău intenţionat catre servere sau clienti aplicarea politicii de securitate se poate face simplu, scalabil, robust şi cu un firewall configurat corect reducerea la câteva puncte de control al accesului in reţea poate micsora complexitatea managementului securităţii Firewall-urile prezente de asemenea, unele limitări: daca configurati greşit, un firewall poate avea consecinţe grave Multe aplicaţii nu pot trece de firewall utilizatorii pot căuta în firewall pentru a primi material blocat, expune reţeaua la un potenţial ataca performanţa reţelei poate scadea traficul neautorizat poate fi tunelizant sau ascuns ca trafic legitim prin firewall Este important să se înţeleagă diferitelele dinte tipurile de firewall-uri şi capacităţile lor pentru a folosi dreptul de firewall in fiecare situaţie      Un sistem firewall poate fi compus din mai multe componente si dispozitive diferite O componentă de filtrare a traficului este, ceea ce majoritatea oamenilor numesc de obicei un firewall Există mai multe tipuri de firewall-uri de filtrare, inclusiv următoarele: Packet-filtering firewall - De obicei este un router cu capacitatea de a filtra unele Informaţii conţinute in pachete de, cum ar fi informatii de Layer , Layer Stateful firewall - Monitorizeaza starea conexiuni, dacă conexiunea este în iniţiere, transfer de date, sau rezilierea Application gateway firewall (proxy firewall) - Un firewall care filtrează informaţii de la nivelele , , şi din modelul de referinţă OSI Cele mai multe dintre filtrarile si controlul firewall i se face în software Address-translation firewall - Un firewall care extinde numărul de adrese IP disponibile şi ascunde adresele reţelei Host-based (server and personal) firewall - Un PC sau server cu software-ul firewall care rulează pe acesta Firewall transparent - un firewall care filtrează traficul IP între o pereche de interfeţe Firewall Hybrid - Un firewall care este o combinaţie de diferite tipuri de firewall-uri De exemplu, un firewall care inspecţeaza cererea combint cu un firewall stateful cu un firewall gateway   Un pachete de filtrare firewall lucrează în principal la nivelul reţea al modelului OSI Firewall-urile sunt în general sunt considerate de Layer Cu toate acestea, ele permit sau blocheaza traficul de la nivelu informaţii cum ar fi : sursa de protocol şi numerele de port destinaţie Filtrare de pachete utilizează ACL-uri pentru a determina dacă permite sau blocheaza traficul, bazat pe sursa şi destinaţia adresei IP,, sursa de protocol şi numere de port de destinaţie, şi tipul de pachete Pachetele de filtrare firewall sunt, de obicei, parte dintr-un firewall de router Serviciile se bazează pe anumite porturi pentru a funcţiona De exemplu, serverele SMTP asculta la portul în mod implicit Deoarece packet-filtering firewalls filtreaza traficul funcţie de antetul static al pachetului de informaţii, ele sunt denumite uneori filtre statice Prin restrângerea anumitor porturi, un administrator poate limita serviciile care se bazează pe anumite porturi De exemplu, blocarea portului pe o staţie de lucru specific previne o staţie de lucru infectata sa difuzeze programe virusate pe e-mail in Internet Packet-filtering firewalls utilizeaza o politică simplă de căutare in tabel care permite sau refuză de trafic pe baza unor anumite criterii: adresa IP sursa adresa IP destinaţie protocolul numărul de port al sursei numărul de port destinaţie Sincronizarea / start (SYN) pachetelor primite Filtre de pachete nu reprezintă o soluţie firewall completa, dar ele sunt un element important    Stateful firewall sunt cele mai versatile şi cele mai frecvente utilizate tehnologii utilizate Firewall Stateful asigura filtrarea dinamică a pachetelor utilizând informaţiile de conectare menţinute într-un tabel Filtrarea dinamică este o arhitectură firewall care este clasificata la nivelul Network , deşi pentru unele aplicaţii se poate analiza, traficul de la nivel Layer şi Spre deosebire de filtrare de pachete statice, care examinează un pachet pe baza informaţiilor din antet-ul pachetului, filtrarea dinamică urmareste fiecare conexiune care traverseaza toate interfeţele de firewall şi confirmă faptul că acestea sunt valabile Stateful firewall foloseste un tabel de stare pentru a urmări procesul de comunicare reală Firewall analizează informaţii în antetele pachetelor de Layer şi al segmentelor de Layer De exemplu, firewall-ul se uită la antetul TCP pentru a sincroniza (SYN), reset (RST), confirmare (ACK), finisaj (FIN), şi alte coduri de control pentru a determina starea conexiunii Atunci când un serviciu este accesat din afara, filtru stateful firewall reţine anumite detalii ale cererii pe către le salveaza în tabelul de stare De fiecare dată când o conexiune TCP sau UDP este stabilită pentru conexiuni inbound sau outbound, firewall log trece informaţiile într-o tabela dinamica a sesiunilor Atunci când sistemul de exterior răspunde la o solicitare, serverul firewall compară pachetele primite cu starea salvată pentru a permite sau refuza accesul la reţea Stateful session flow table conţine adresele sursa si destinatie, numere de port, secvenţierea informaţiilor TCP, şi flag-urile suplimentare pentru fiecare conexiune TCP sau UDP care este asociat cu acea sesiune specială Aceste informaţii creează un obiect conexiune care este utilizat de firewall pentru a compara toate pachetele inbound şi outbound cu sesiunile fluxurilor din tabelula dinamică a fluxurilor de sesiune Firewall-ul permite trecerea datelor numai dacă există o conexiune corespunzătoare pentru a valida trecerea datelelor Firewall-urile stateful mai avansate includ capacitatea de a analiza portul FTP şi actualizarea tabelului de stat pentru a permite FTP să lucreze transparent prin firewall Firewall-urile stateful mai avansată pot oferi, de asemenea, interpretarea numarului de secventa TCP precum şi interogarea şi răspunsul DNS pentru a ne asigura că firewall-ul permite pachetelor sa revina numai daca contin răspunsul la interogările care provin din interiorul reţelei Aceste caracteristici reduce ameninţarea atacurilor de flooding TCP RST şi otrăvire cache-ul DNS Există un dezavantaj potenţial in utilizarea filtrarii stateful În timp ce asigură transparenţă şi o viteză de inspecţie dinamică, pachete în cadrul reţelei trebuie să facă drumul lor in afara reţelei Acest lucru poate expune adrese IP interne pentru hackeri potenţial Cele mai multe firewall includ inspecţia dinamică, Network Address Translation (NAT), şi servere proxy pentru mai multă siguranţă   Cisco Systems oferă mai multe opţiuni pentru profesioniştii din domeniul securităţii reţelei să pună în aplicare o soluţie firewall Acestea includ Cisco IOS Firewall, PIX Security Appliances (acest produs este acum sfârşitul duratei de viaţă), şi Adaptive Security Appliances Cisco IOS Firewall este un grup specializat în caracteristica Cisco IOS care ruleaza pe routere Cisco Este un firewall de clasa enterprise pentru sprijinirea întreprinderilor mici şi mijlocii (SMB) şi a sucursalelor de întreprindere Cisco PIX Security Appliance este un dispozitiv de sine statator care oferă utilizatorilor aplicatii robuste ale politicilor de securitate , protecţie multivector la atac, şi servicii sigure de conectivitate Aparatele Cisco PIX Security sunt scalabile pentru a satisface o gamă largă de cerinţe şi dimensiuni de reţea Cu aparatele Cisco ASA Adaptive Security sunt uşor de implementat soluţii care integrează capabilităţi firewall, Cisco Unified Communications (voce şi video) de securitate, Secure Sockets Layer (SSL) şi IPsec VPN, IPS, servicii de securitate Conceput ca o componentă cheie a Cisco Self-Defending Network, ASA oferă protecţie împotriva ameninţărilor inteligente şi servicii de comunicaţii securizate care opresc atacurile inainte de a afecta continuitatea afacerii ASA a fost conceput pentru a proteja retelele de toate mărimile şi desfăşurarea organizaţiilor mai mici "general şi costurile de funcţionare prin asigurarea securităţii globale multistrat Atunci când alegem diferite opţiuni pentru o soluţie firewall, este important sa efectuam o analiză de risc faţă de cost Indiferent de decizie luata pentru achiziţionarea unei soluţii firewall, planul de securitate al reţelei este critic pentru desfăşurarea cu succes a unui firewall   În securitatea reţelei, există adesea referire la o zonă demilitarizată (DMZ) Un DMZ este o parte a unei reţele delimitată de un firewall sau un set de firewall Termenul a fost folosit iniţial ca o descriere militar pentru o zonă între puteri militare în cazul în care conflictul nu este permisă DMZs defineste porţiuni ale unei reţele care sunt de încredere şi porţiuni care nu sunt de încredere Design Firewall se refera în primul rând la interfeţele dispozitivului care permite sau blocheaza traficul pe baza sursei, destinaţiei şi tipului de trafic Unele modele sunt la fel de simple ca schema unei reţele outside şi inside fiind determinată de două interfeţe ale unui firewall Outside (sau reţeaua publică) nu este de încredere şi reţeaua inside (sau reţea privată) este de încredere În acest caz, traficul din interior este de obicei permis sa traverseze firewall la exterior cu restricţii puţine sau deloc Trafic provenind din exterior este, în general, blocat în întregime sau permis foarte selectiv Traficul care se întoarce din exterior, si este asociat cu traficul provenind de la interior este permis sa traverseze de la interfaţa de neîncredere la o interfaţa de încredere Modelele mai complicate implica trei sau mai multe interfeţe pe un firewall În acest caz, există de obicei o singură interfaţă exterioara, una interioara şi o interfaţă DMZ Traficul este permisă liber din interior prin intermediul interfeţelor exterior şi DMZ Trafic din DMZ este permisă liber prin interfaţa interioara, dar blocat la exterior Traficul din exterior este, în general, blocat în întregime cu excepţia cazului în care acesta este asociat cu traficul provenind din interior sau DMZ Cu toate acestea, cu un DMZ, este comun pentru anmite tipuri de trafic să fie permisă din exterior, cu condiţia ca acesta sa faca mach cu tipul de trafic destinat zonei DMZ Acest tip de trafic este de obicei de e-mail, DNS, HTTP, HTTPS sau trafic  Într-un scenariu de apărare stratificat, firewall-uri asigura securitatea perimetrului întreagii reţele şi pe segmente de reţea in interiorul miezului De exemplu, profesioniştii de securitate de reţea poate utiliza un firewall pentru a separa resurse umane sau a reţelelor financiare ale unei organizaţii de la alte reţele sau segmente de reţea în cadrul organizaţiei O apărare stratificat utilizează diferite tipuri de firewall-uri care sunt combinate în straturi pentru a adauga profunzime in securitatea unei organizaţii De exemplu, traficul care vine de la o reţea de încredere întâlneşte mai întâi un filtru de pachete pe router-ul exterior Traficul merge la firewall ecranat sau la un bastion host system care aplică norme mai mult la trafic şi arunca pachete suspecte Un bastion host este un computer, care este de obicei situat în DMZ Traficul acum merge la un router screening de interior Traficul trece la gazda destinatie interne cu succes numai după ce trece prin toate de filtrare între router-ul outside şi inside –ul reţelei Acest tip de configurare DMZ este numit o configuraţie screened subnet O conceptie gresita este ca o topologie firewall stratificat este tot ce este necesar pentru a asigura o reţea în condiţii de siguranţă internă Acest mit este, probabil, încurajată de afacerile cu firewall-uri în plină expansiune Un administrator de reţea trebuie să ia în considerare mai mulţi factori atunci când construieste o apărare completă în profunzime: Un număr semnificativ de intruziuni provin de la gazdele din cadrul reţelei De exemplu, firewall-uri de multe ori fac o mica protectie împotriva viruşilor care sunt descărcati prin intermediul e-mail-urilor Firewall-uri nu protejează împotriva instalaţiilor modem În plus, şi cel mai important, un firewall nu este substitutul pentru informarea utilizatorilor şi administratorilor Firewall-uri nu tin loc de backup caz de dezastru şi de recuperare a mecanismelor care rezultă din atac sau a defecţiunilor hardware O apărare în profunzime include, de asemenea, stocare offsite şi topologii redundante hardware  Un profesionist in securitatea reţelei este responsabilă pentru crearea şi menţinerea unei politici de securitate, inclusiv o politică de securitate firewall Aceasta este o listă parţială generica, care pot servi ca punct de plecare pentru politica de securitate firewall: Poziţia firewall-urilo la graniţele de securitate Firewall-urile sunt dispozitivul de securitate primare, dar este imprudent să se bazeze exclusiv pe un firewall de securitate Blocarea intregului trafic în mod implicit, şi permitera numai serviciilor care sunt necesare Asiguraţi-vă că accesul fizic la firewall-ul este controlat Monitorizati regulat logarile firewall Cisco Security Monitoring, Analysis, and Response System (MARS) este utilă în special în monitorizarea logarilor firewall schimbati configurarea firewall de management Firewall-ul sa protejeze în primul rând de atacuri tehnice provenite din exterior Atacurile din interior tind să fie de natură ne-tehnica  Un router Cisco pe care rulează Cisco IOS Firewall este atât un router cat şi un firewall Dacă există două firewall-uri, o opţiune de proiectare este de a li se alătura, un LAN ca un DMZ Asta inseamna , de asemenea, ca hosturile care nu sant de încredere din reţeaua publica au acces redundant la resursele DMZ   Context-based access control (CBAC)este o soluţie disponibilă în cadrul Cisco IOS Firewall CBAC filtreaza inteligent pachete TCP si UDP pe baza protocoalelor de la nivelul Application Layer Acesta oferă filtrare dinamică de Application Layer, inclusiv protocoale care sunt specifice pentru aplicaţii unice, precum şi aplicaţii multimedia şi protocoale care necesită mai multe canale de comunicare, cum ar fi FTP si H CBAC poate examina, de asemenea, conexiunile acceptate pentru NAT integrate şi informaţii PAT şi poate efectua traanslatarile necesare ale adresei CBAC poate bloca conexiuni peer-to-peer (P P), cum ar fi cele utilizate de aplicaţii ca Gnutella şi KaZaA poate fi blocat traficul de mesagerie instantanee, cum ar fi Yahoo, AOL, şi MSN CBAC oferă patru funcţii principale: filtrare de trafic, controlul traficului, detectarea intruziunilor, şi generarea de audit şi alerte Filtrarea traficului CBAC poate fi configurat pentru a permite traficul TCP şi revenirea traficului UDP printr-un paravan de protecţie în cazul în care conexiunea este iniţiată din interiorul reţelei Ea realizeaza acest lucru prin crearea de deschideri temporare într-un ACL care ar bloca altfel traficul CBAC poate inspecta trafic pentru a vedea sesiunile de la care provin din ambele părţi ale firewall Acesta poate fi de asemenea folosite pentru intranet, extranet, şi perimetre de Internet ale reţelei CBAC examinează nu numai informaţii de la nivelul Network Layer şi Transport Layer, dar analizează, de asemenea, informaţii de la nivelul Application Layer (cum ar fi informaţii ale unei conexiuni FTP) pentru a afla starea sesiunii Acest lucru permite support pentru protocoalele care implică mai multe canale create ca rezultat al negocierilor din canalul de control Cele mai multe dintre protocoalelor multimedia, precum şi a unor alte protocoale (cum ar fi FTP, RPC, SQL * Net) implică mai multe canale Inspectarea traficului Deoarece CBAC inspectează pachetele la nivelul aplicatie şi menţine sesiune de informare TCP şi UDP, poate detecta şi preveni anumite tipuri de atacuri de reţea, cum ar fi SYN-inundaţii Un atac SYN flood-apare atunci când un atacator inunda un server cu foarte multe cereri de conectare in care conexiunea nu este completa Volumul, care decurge dintr-o conexiune pe-jumătate deschisa copleşeşte server-ul, determinând blocarea serviciului pentru cererile valabile CBAC, de asemenea, ajută la protecţia împotriva atacurilor DoS în alte moduri Se inspectează numere de secvenţă în conexiunile de pachete TCP pentru a vedea dacă acestea se încadrează în intervalele aşteptate şi arunca orice pachet suspecte CBAC poate fi configurat, de asemenea, sa renunte la conexiunile pe-jumătate deschise, care necesită prelucrarea firewall şi resurse de memorie Intrusion Detection CBAC oferă un număr limitat de detectare a intruziunii pentru a proteja împotriva atacurilor specifice SMTP Cu detectarea intruziunilor, mesaje syslog sunt revizuite şi monitorizate semnăturile specifice Anumite tipuri de atacuri de reţea au caracteristici specifice sau semnături Atunci când CBAC detectează un atac bazat pe aceste caracteristici, resetează conexiunile ofensatoare şi trimite informaţii syslog la server syslog Alertă şi generare de audit CBAC generează, de asemenea, alerte in timp real şi piste de audit Caracteristicile îmbunătăţite de audit folosi syslog pentru a urmări toate tranzacţiile de reţea şi marca in timp record, gazdele sursă şi destinaţie, porturile utilizate, precum şi numărul total de octeţi transmise pentru raportare avansata de bazat pe sesiune Alertele în timp real trimit mesaje syslog de eroare la consola centrală de detectare a activităţi suspecte            Primele comenzile CBAC au fost introduse pentru a software-ului Cisco IOS în CBAC este o îmbunătăţire majora fata de opţiunile TCP established şi ACL –uri reflexive firewall în mai multe directii fundamentale: Monitorizarea configurarii conexiunii TCP Mentinerea sesiune de informare UDP Urmarirea numarului de secventa TCP Inspectarea interogărilor şi răspunsurilor DNS Inspectarea tipuri de mesaj ICMP uzuale Suportă aplicaţii care se bazează pe mai multe conexiuni Inspectarea adreselor incorporate Inspectarea informaţiilor de la nivelul Application Layer Este important să reţineţi că CBAC prevede doar filtrarea pentru acele protocoale care sunt specificate de către un administrator Daca un protocol nu este specificat, ACL-urile existente determina modul în care protocolul este filtrată, şi nu creaza o deschider temporară În plus, doar CBAC detectează şi protejează împotriva atacurilor prin firewall CBAC nu protejează împotriva atacurilor, provenind din interiorul reţelei protejate cu excepţia cazului în care traficul calatoreste printr-un router interne cu Cisco IOS Firewall activat Deşi nu există nici o apărare perfecta, CBAC detectează şi împiedică cele mai multe atacuri pe o reţea Cu toate acestea, deoarece nu există nici o apărare impenetrabila, atacatorii calificaţi pot gasi modalitati pentru a lansa atacuri eficiente   Fără CBAC, trafic de filtrare este limitat la implementările ACL care examinează pachetele la nivelul reţea sau, cel mult, la stratul de transport CBAC se bazeaza pe un filtru de pachete dinamic, care este aplicarea-conştient Acest lucru înseamnă că filtrul este capabil să recunoască toate sesiunile unei aplicatii dinamice CBAC examinează nu numai Network Layer şi stratul de transport de informaţii, ci analizează, de asemenea, informaţii Application Layer protocol (cum ar fi conexiune informaţii FTP) pentru a afla despre starea sesiunii De exemplu, CBAC poate monitoriza TCP, UDP, ICMP şi conexiunile şi poate să menţină informaţii într-un tabel de stat (sau table de conexiuni) pentru a avea evidenţa acestor sesiuni active Acest lucru permite sustinereal protocoalelor care implică mai multe canale create ca rezultat al negocierilor din canalul de control Cele mai multe dintre protocoalelor multimedia, precum şi a unor alte protocoale (cum ar fi FTP, RPC, SQL * Net) implică mai multe canale Tabelul de stare urmăreşte sesiunile şi inspectează toate pachetele care trec prin firewall-ul filtrului dinamică de pachete CBAC foloseşte apoi tabelul de stat pentru a construi dinamic intrările in ACL care să permită revenirea traficului prin perimetrul router-ului sau firewall Cum funcţionează CBAC? CBAC creează deschideri în ACL-uri pe interfeţele firewall-ului prin adăugarea unei intrari temporare in ACL pentru o anumita sesiune Aceste deschideri sunt create când un anumit trafic iese dîn reţeaua internă protejată prin firewall Deschiderile temporare permite reintoarcerea traficului care ar fi blocat în mod normal, şi crearea de canale de date suplimentare pentru a intra în reţeaua internă înapoi prin firewall Traficul este permis înapoi prin firewall numai dacă face parte din aceeaşi sesiune şi are proprietăţile aşteptate ca traficul iniţial care a declanşat CBAC atunci când ieşind prin firewall Fără această intrare temporară in ACL, acest trafic ar fi oprit de ACL-ul preexistent Tabelul de stat se adaptează dinamic modificărilor cu fluxul de trafic  Să presupunem că un utilizator iniţiază o conexiune de ieşire, cum ar fi Telnet, de la o reţea protejată la o reţea externă, şi CBAC este activat pentru a inspecta traficul Telnet De asemenea, presupunem că o ACL este aplicat pe interfata externa pentru a preveni traficul Telnet sa intre în reţeaua protejata Această conexiune trece printr-o operaţiune cu mai multe etape: Când traficul este prima data generat, la trecerea prin router, ACL-ul il proceseaza primul dacă ACL se aplică inbound În cazul în care ACL opreste acest tip de conexiune de ieşire, pachetul este aruncat În cazul în care ACL permite trcerea in afara retelei , sunt aplicate regulile de inspecţie CBAC Pe baza normelor de control pentru CBAC, software-ul Cisco IOS ar putea inspecta conexiunea Dacă traficul Telnet nu este inspectat, pachetul este permis, şi nici o alta informaţie nu este colectata În caz contrar, conexiunea merge la pasul următor Informaţiile de conectare este comparat cu intrările din tabelul de stare În cazul în care conexiunea nu există în prezent, intrarea se adaugă În cazul în care există,un timer inactiv este resetat pentru conexiunea În cazul în care o intrare nouă este adăugată, o intrare dinamica in ACL se adaugă pe interfeţei externa pe direcţia intrare (din reţeaua externă la reţeaua internă protejată) Acest lucru permite traficului Telnet sa se întoarca înapoi în reţea, daca, pachetele fac parte din aceeaşi conexiune Telnet stabilită anterior cu pachetul extern, Această deschidere temporară este activ doar pentru atâta timp cât sesiunea este deschis Aceste intrări dinamice ACL nu sunt salvate in NVRAM Atunci când se termină sesiunea, informaţii dinamice din tabelul de stare şi intrarile dinamice inACL sunt sterse Acest lucru este foarte similar cu modul in care ACL-uri reflexive sunt procesate CBAC creează o deschideri temporara în ACL-uri pentru a permite întoarcerea traficului Aceste intrări sunt create pentru ca traficul care pleaca din retea sa fie inspectat şi sunt eliminate atunci când conexiunea se încheie sau perioada de timeout inactiv pentru conexiune este atinsa , Ca si in ACL-urile reflexive, administratorul poate specifica ce protocoale se vor inspecta, precum şi pe care interfaţă şi în care direcţia are loc inspecţia CBAC este flexibil în configuraţia sa, mai ales în alegerea direcţiei in care inspecteaza traficul Într-o configurare tipică, CBAC este folosit pe router –ul de perimetru sau firewall, pentru a permite returnarea traficul în reţea CBAC poate fi configurat pentru a inspecta traficul în două direcţii - in şi out Acest lucru este util atunci când protejam ambele părţi ale unei reţele, în cazul în care ambele părţi iniţiaza anumite conexiuni si permite traficului sa se întoarce pentru a ajunge la sursa proprie   CBAC manipularea TCP Amintiţi-vă că TCP-ul foloseste three-way handshake Primului pachet conţine un număr de ordine aleator şi seteaza flag-ul TCP SYN Atunci când primul pachet dintr-un flux TCP cu flag-ul TCP SYN este primit de router, ACL-ul inbound de pe interfata il verificată Dacă pachetul este permisă, se creaza o intrare in sesiunea dinamica Sesiunea este descrisa de către adresa endpoint, numerul de port, numerele de secventa, şi flaguri Toate pachetele ulterioare din această sesiune sunt verificate şi sunt aruncate dacă pachetele sunt invalide Cum determina CBAC dacă un pachet este un pachet aparţinând unei sesiuni ulterioare celei deja stabilite? Când pachetul TCP SYN este transmis, un al doilea pachet conţinand un număr de secvenţă aleatoare ca răspuns la pachetul generat de host, un număr de secvenţă de confirmare (numărul de ordine primit incrementat cu unu), şi flagurile SYN si ACK sunt stabilite Al treilea pachet ACK primit cu numărul de ordine al secvenţei de pachete de confirmare crescut, creşte numărului de ordine cu numărul corespunzător de octeti transmisi, şi seteaza flag-ul ACK Toate segmentele ulterioare cresc numerele lor de ordine cu numarul de octeti transmisi şi recunosc ultimul segment primit cu o unitate mai mare, în funcţie de starea legaturii TCP După three-way handshake,, toate pachetele au bitul ACK setat până la terminarea sesiunii Router-ul determină care sesiune apartine fiecarui pachet urmărind secventa de numere şi flaguri CBAC UDP de manipulare Cu protocolul UDP, router-ul nu poate urmări numerele de secventa şi flagurile Nu există nici un three-way handshake şi nici un proces teardown În cazul în care primul pachet dintr-un flux UDP este permisă prin router, o intrare UDP este creat în tabelul de legătură Adresele final şi numerele de port descrie intrarea conexiunea UDP Atunci când nu există date schimbate în conexiunea UDP pentru un timp configurabil, descrierea conexiunea se elimină din tabelul de conectare CBAC Manipulare de alte protocoale IP Stateful firewall-uri nu urmăreste, de obicei, alte protocoale, cum ar fi GRE şi IPsec, dar manevreaza protocoalele într-un mod rapid, similar cu modul în care un pachet clasic este filtrat de aceste protocoale În cazul în care sprijinul dinamic este prevăzută pentru alte protocoale, acesta este de obicei similar cu suport pentru UDP Atunci când un flux este permis iniţial de un protocol, toate pachetele din acest fluxul sunt permise până ce timer-ul inactiv expira Aplicaţiile dinamice, cum ar fi FTP, SQLnet, şi multe protocoale care sunt folosite pentru transferul de voce şi video sau de semnalizare şi mass-media, deschid un canal pe un port bine-cunoscute şi apoi negocieza, adaugarea canalelor suplimentare la sesiunea iniţială firewall Stateful sprijini aceste aplicaţii dinamice prin caracteristicile de inspectare a cereri Filtrul de pachete dinamice snoops al sesiunii iniţiale interpreteaza datele aplicaţiei pentru a afla despre canale suplimentare negociate Apoi, filtrul de pachete dinamică impune politica că în cazul în care sesiunea iniţială a fost permisă, orice canale suplimentare ale aceastei cereri ar trebui permise,  Cu CBAC, protocoalele care inspecteaza sunt specificate într-o regulă de inspecţie O regula de inspecţie se aplică o interfaţă într-o direcţie (in sau out) în cazul în care se aplică de inspecţie Motorul firewall inspectează numai anumite pachete ale protocolului la prima trecere prin ACL inbound care se aplică la interfaţa interior Dacă un pachet este oprit de ACL, pachetul este aruncat şi nimic nu mai este inspectat de firewall Pachetele care fac mach cu regula de inspecţie genereaza o intrare ACL dinamica, care permite traficului sa se întoarca înapoi prin firewall Firewall creează şi elimină ACL-uri în conformitate cu cererile Atunci când cererea se termina, CBAC elimină toate ACL-uri dinamice pentru acea sesiune Motorul Cisco IOS Firewall poate recunoaste comenzile specifice aplicaţiei, cum ar fi comenzi SMTP ilegale în canalul de control şi poate detecta şi impiedica anumite atacuri la nivelul Application Layer Atunci când este detectat un atac, firewall-ul poate avea mai multe reactii: genera mesaje de avertizare proteja resursele din sistem care ar putea afecta performanta bloca pachetele de la atacatori suspecti Timeout-ul şi valoarea threshold –ului sunt utilizate pentru a gestiona informaţiile referitoare la starea conectivitatii Aceste valori determina când să se renunţe la conexiune care nu devină pe deplin stabilit sau a trecut time-out-ul Cisco IOS Firewall oferă trei praguri împotriva atacurilor DoS Numărul total de sesiuni TCP semi-deschise Numărul de sesiuni TCP semi-deschise într-un interval de timp Numărul de sesiuni semi-deschise TCP per host În cazul în care un pragul pentru numărul de sesiuni semi-deschise TCP este depăşit, firewall-ul are două opţiuni: Sa trimita un mesaj de resetare la device-ul care a deschis sesiune pe jumătate facand resursele disponibile pentru noul serviciu cu care sosesc pachete SYN Blochează toate pachetele SYN temporare pe durata cu care este configurat valoarea pragului În cazul în care un router blocheaza pachetele SYN, nu este iniţiata sesiunea TCP three-way handshake, care împiedică router sa utilizeze memoria şi resursele de procesare necesare intr-o conexiune valida   Există patru paşi pentru a configura CBAC: Pasul Alege o interfaţă - interna sau externa Pasul Configurati IP-ul pe interfaţa ACL-ului Pasul Definiti normele de inspecţie Pasul Aplică o regulă de inspecţie la o interfaţă   Mai întâi se determine interfeţele interne şi externe pentru aplicarea inspecţiei Cu CBAC, interne şi externe se referă la direcţia de conversaţie Interfaţa în care pot fi iniţiate sesiunile trebuie să fie selectata ca interfata interna Sesiunile care provin din interfaţa externe vor fi blocate Într-un scenariu tipic de două interfaţă, în care o interfaţă se conectează la reţeaua externă, precum şi alte se conectează la reţea protejate, CBAC împiedică traficul protocolului specificat sa intre prin firewall in reţeaua internă, cu excepţia cazului în care trafic este parte dintr-o sesiune iniţiată din cadrul reţelei interne Într-un scenariu de trei interfaţe, în care prima interfaţă se conectează la reţeaua externă, doua interfata se conectează la o reţea într-un DMZ, şi interfaţa a treia se conectează la reţea protejata interne, firewall-ul poate permite trafic extern la resursele în cadrul DMZ , cum ar fi DNS şi servicii web Acelaşi Firewall poate preveni traficul unui protocol sa intre în reţeaua internă excepţia cazului în care traficul este parte dintr-o sesiune iniţiată din cadrul reţelei interne CBAC poate fi configurat, în două direcţii pe una sau mai multe interfeţe Configurarea firewall-ul în două direcţii se face când reţelele de pe ambele părţi ale firewall-ului necesită protecţie, cum ar fi cu configuraţii extranet sau intranet, precum şi pentru protecţia împotriva atacurilor DoS Dacă configurati CBAC în două direcţii, configuraţi în primul rând intr-o singură direcţie, folosind denumirile interne şi externe corespunzătoare interfaţei Când configurti CBAC în cealaltă direcţie, denumirile interfeţelor trebuie să fie schimbate  Configurare ACL-urilo IP pe Interfata Pentru ca Cisco IOS Firewall să funcţioneze corect, un administrator trebuie să configureze ACL-uri de IP de la interior, exterior, şi pe interfeţele DMZ Pentru ca ACL-urile sa ofere securitate, un administrator ar trebui, cel puţin, sa configureze ACL-urile pe routerele de frontieră situat la marginea reţelei între reţelele interne şi externe Acest lucru oferă un tampon la reţeaua exterioară, sau dintr-o zonă mai puţin controlată a reţelei unei organizaţii într-o zonă mai sensibila a reţelei ACL-uri pot fi, de asemenea, utilizate pe un router poziţionat între două părţi interne ale unei reţele pentru a controla fluxul de trafic De exemplu, în cazul în care reţeaua cercetare şi dezvoltare (R & D) a unei organizaţii este separată de la reţeaua de resurse umane de un router, un ACL poate fi pus în aplicare pentru a preveni angajaţii R & D sa acceseze reţeaua de resurse umane ACL-uri poate fi configurate pe o interfaţă pentru a filtra traficul de intrare, traficul spre exterior, sau ambele Administratorul trebuie să definească ACL-uri pentru fiecare protocol activat pe o interfaţă pentru un control al fluxului de trafic pentru acest protocol Utilizaţi ACL-uri pentru a determina ce tipuri de trafic se transmit sau se blocheza la interfeţele router-ului De exemplu, un administrator ar putea permite trafic e-mail şi, în acelaşi timp bloca tot traficul Telnet Acestea sunt liniile directoare pentru configurarea ACL-uri pe un IP Cisco IOS Firewall: Începeţi cu o configuraţia de bază O configuraţie de bază iniţială permite tot traficul de reţea să curgă de la reţele protejate la reţelele neprotejate în timp ce blocheaza traficul provenind de la reţele neprotejate permite traficul pe care Cisco IOS Firewall il inspecteazaa De exemplu, dacă firewall-ul este setat pentru a inspecta Telnet, traficul Telnet ar trebui să fie permis pe toate ACL-uri care se aplică la fluxul Telnet iniţial Utilizeaza ACL-uri extinse pentru a filtra traficul care intra in router din reţele neprotejate Pentru un Cisco IOS Firewall pentru care ai creat deschideri temporare dinamice, ACL-urile traficului care se întoarcere trebuie să fie un ACL extins Dacă firewall are doar două conexiuni, una la reţeaua internă şi una la reţeaua externă, aplica ACL-uri pe intrarea ambelor interfeţe care funcţionează, deoarece pachetele sunt oprite înainte de a afecta router Ridica o protecţie antispoofing prin oprirea oricarui trafic inbound (care vine pe o interfaţă externă) de la o adresă sursă care se potriveşte cu o adresă pe reţea protejata Protecţia Antispoofing împiedică traficul dintr-o reţea neprotejat să-şi asume identitatea unui dispozitiv din reţeaua protejata Blocheaza mesajele broadcast cu o adresă sursă de Aceasta ajută la prevenirea atacurilor broadcast În mod implicit, ultima intrare într-un ACL este un implicit denny all pentru traficul IP care nu este permis în mod specific de alte poziţii ale ACL-ului Opţional, un administrator poate adăuga o intrare la ACL care neagă traficul IP cu orice sursă sau adresa de destinaţie, făcând astfel regula negării explicite Adăugarea această intrari este utila mai ales dacă este necesar să se obtina informaţii despre pachetele blocate  Definirea regulilor de inspecţie Administratorul trebuie să definească normele de inspecţie pentru a specifica care protocoale de la nivelul Application Layer sunt inspectate, pe o interfaţă În mod normal, este doar necesar să se definească o regulă de inspecţie Singura excepţie apare în cazul în care este necesară cand trebuie sa se permita actionarea motorului firewall-ul în două direcţii pe o singură interfaţă firewall În acest caz, administratorul poate configura două reguli, una pentru fiecare direcţie O regula de inspecţie ar trebui să specifice fiecare protocol dorit la nivelul Aplicarea Layer care trebuie sa fie inspectat, precum şi generic TCP, UDP, sau ICMP, dacă doriţi Generic TCP şi UDP inspecţeaza traficul permis dynamic la întoarcerea unei sesiuni active Inspecţie ICMP permite pachetelor ICMP replay sa transmita un răspuns la mesajele ICMP echo vazute anterior Regula de inspecţie constă într-o serie de declaraţii, fiecare listand un protocol şi specificând acelaşi nume al regulei de inspecţie Normele de inspecţie includ opţiuni pentru alertă controlului şi mesajele de audit Normele de inspecţie sunt configurate la nivel global Router(config)# ip inspect name inspection name protocol [alert {on | off}] [audit-trail {on | off}] [timeout seconds] Exemplul În acest exemplu, regula de inspecţie IP este numit FWRULE FWRULE inspectează extended SMTP şi FTP cu trasee de alertă şi de audit activate FWRULE are un timeout inactiv de de secunde ip inspect name FWRULE smtp alert on audit-trail on timeout ip inspect name FWRULE ftp alert on audit-trail on timeout Exemplu În acest exemplu, regula PERMIT JAVA permite tuturor utilizatorilor acceptati de standard ACL-ul sa descarce aplicatii Java ip inspect name PERMIT JAVA http java-list access-list permit Exemplul În acest exemplu, o listă de protocoale, inclusiv protocoalele generice TCP, cu un timeout de ore (în mod normal, o oră), este definit pentru Cisco IOS Firewall sa inspecteze ip inspect name in out rcmd ip inspect name in out ftp ip inspect name in out tftp ip inspect name in out tcp timeout ip inspect name in out http ip inspect name in out udp   Aplică o regulă de inspecţie pe o interfaţă Ultimul pas pentru configurarea CBAC este de a aplica o regulă de inspecţie la o interfaţă Aceasta este sintaxa comenzii folosite pentru a activa o regulă inspecţie pe o interfaţă Router(config-if)# ip inspect inspection name {in | out} Pentru ca Cisco IOS Firewall fie eficiente, atât normele de inspecţie cat şi ACL-uri trebuie să fie aplicate strategic pentru toate interfeţele router-ului Există două principii directoare pentru aplicarea normelor de inspecţie şi a ACL-urilor pe router: Pe interfata de care traficul este iniţiat, se aplică ACL în direcţia activă care permite numai trafic dorit şi se aplică regula pe direcţia activă care inspectează traficul dorit Pe toate celelalte interfeţe, se aplică ACL în direcţia activă care opreste tot traficul, cu excepţia traficului care nu a fost inspectată de firewall, cum ar fi GRE şi traficul ICMP care nu este legat de ecou si mesajele echo de răspuns De exemplu, un administrator trebuie sa permita utilizatorilor din interior să iniţieze trafic TCP, UDP şi ICMP, cu toate sursele externe Clientilor din afara li se permite să comunice cu serverul SMTP ( ) şi server HTTP ( ), care se află în DMZ Este, de asemenea, necesare sa se permite anumitor mesaje ICMPaccesul la toate interfeţele Tot celalalt trafic din reţeaua externă este refuzat Pentru acest exemplu, creaţi mai întâi un ACL care permite sesiunile TCP, UDP, ICMP şiblocheaza celelalt trafic R (config)# access-list permit tcp any R (config)# access-list permit udp any R (config)# access-list permit icmp any R (config)# access-list deny ip any any Acest ACL se aplică pe interfata interne în direcţia de intrare ACL proceseaza traficul initiat din reţeaua internă înainte ca pleca acesta sa paraseasca reţeaua R (config)# interface Fa / R (config-if)# ip access-group in Apoi, creaţi un extended ACLîn care traficul SMTP şi HTTP sa fie permis din reţeaua externă numai in reţeaua DMZ, şi tot celelalt traficul este blocat R (config)# access-list permit tcp any host eq www R (config)# access-list permit tcp any host eq smtp R (config)# access-list permit icmp any any echo-reply R (config)# access-list permit icmp any any unreachable R (config)# access-list permit icmp any any administratively-prohibited R (config)# access-list permit icmp any any packet-too-big R (config)# access-list permit icmp any any echo R (config)# access-list permit icmp any any time-exceeded R (config)# access-list deny ip any any Acest ACL se aplică pe interfata de conectare la reţeaua externă pe direcţia de intrare R (config)# interface S / / R (config-if)# ip access-group in În cazul în care configuraţia sa oprit aici, tot traficul se întorce, cu excepţia mesajelor ICMP, care este blocat din cauza ACL-ului extern Apoi, creati reguli de control pentru inspecţie şi control TCPsi UDP R (config)# ip inspect name MYSITE tcp R (config)# ip inspect name MYSITE udp Aceste reguli de control sunt aplicate pentru interfaţa internă pe intrare R (config)# interface Fa / R (config-if)# ip inspect MYSITE in Lista de control creează automat declaraţii temporare în ACL pe inbound-ul ACL-ului aplicat pe interfata externe pentru conexiunile TCP şi UDP Aceasta permite traficul TCP şi UDP, care este un răspuns la solicitările generate din reţeaua internă Pentru a elimina CBAC de pe router, utilizati comanda la nivel global no ip inspect Router(config)# no ip inspect Această comandă elimină toate comenzile CBAC, tabele de stare, şi toate intrările ACL temporare create de CBAC , Resetează toate valorile timeout şi pragurile implicite După ce CBAC este îndepărtat, toate procesele de inspecţie nu mai sunt valabile , şi router utilizează numai ACL-urile actualele pentru filtrare   Inspecţie CBAC acceptă două tipuri de funcţii logare: alerte şi audituri Alerte Alerte afişeaza mesaje privind operaţiuni CBAC, cum ar fi resursele insuficiente ale router-ului, atacuri DoS, şi a altor ameninţări Alerte sunt activate în mod implicit şi sunt afişate în mod automat in linia de consola de router Administratorul poate dezactiva alerte la nivel global, deşi este foarte recomandat ca alertele sa fie activate in stânga Router(config)#ip inspect alert-off Administratorul poate dezactiva, şi poate permite alerte pe regulile de inspecţie; cu toate acestea, este foarte recomandat ca alertele sa fie activate in stânga Acesta este un exemplu de alertă care informează că cineva încearcă să trimită o comanda SMTP neaprobata la un server de e-mail: %FW- -SMTP INVALID COMMAND: Invalid SMTP command from initiator( : ) CBAC poate detecta, de asemenea, alte tipuri de atacuri SMTP: Trimiterea unui pipe (|) in (pe intrare)către sau de la un mesaj de e-mail Trimiterea: decoda @ în antetul unui e-mail Utilizarea vechiului Wiz SMTP sau comenzi de depanare pe portul SMTP Executarea de comenzi arbitrare pentru a exploata un bug în programul de e-mail Majordom Acesta este un exemplu de alertă care este generat când un hacker incearca sa exploateze un bug SMTP majordom: : : : %FW- -TCP MAJORDOMO EXEC BUG: Sig: :Majordomo Execute Attack - from to :   Audituri Auditul ţine evidenţa conexiunile pe care CBAC le inspectează, inclusiv tentative de acces valide şi invalide De exemplu, se afişează mesaje atunci când CBAC adauga sau sterge o intrare din tabelul de stare Inregistrare de audit oferă câteva informaţii statistice de bază despre conexiune Audit este dezactivată în mod implicit, dar poate fi activat cu următoarea comandă: Router(config)# ip inspect audit-trail De exemplu, acest mesaj de audit este creat dintr-o conexiune telnet iniţiat de la : %FW- -SESS AUDIT TRAIL: tcp session initiator ( : ) sent bytes responder ( : ) sent bytes În mod implicit, alerte şi auditurile sunt afişate pe linia de consola Această informaţie poate fi conectata la alte locatii, inclusiv un tampon intern al routerului sau un server syslog extern  CBAC sprijină multe comenzi show care pot fi folosite pentru a vizualiza înregistrările temporare create de ACL, tabela de stare, precum şi funcţionarea CBAC Pentru a vizualiza informaţii despre inspecţiile CBAC, utilizati comanda show ip inspect Router# show ip inspect [parameter] Ieşire de mai jos prezintă normele de inspecţie configurate pentru regula de inspecţie inspect outbound Această regulă inspectează traficul TCP şi UDP, cu timeout-ul implicit idle Router# show ip inspect name inspect outbound Inspection name inspect outbound cuseeme alert is on audit-trail is on timeout ftp alert is on audit-trail is on timeout http alert is on audit-trail is on timeout rcmd alert is on audit-trail is on timeout realaudio alert is on audit-trail is on timeout smtp max-data alert is on audit-trail is on timeout tftp alert is on audit-trail is on timeout udp alert is on audit-trail is on timeout tcp alert is on audit-trail is on timeout În următorul exemplu, tabelul de stare are două intrări: care este în interiorul reţelei, şi care este în afara A doua intrare prezinta un dispozitiv intern care deschide o conexiune la un server FTP extern Prima conectare afişează conexiunea de date pe care serverul FTP deschis le trimite inapoi la clientul intern Acest lucru arată intrările CBAC dinamice din ACL create pe intrarea ACL-ului extins Router# show ip inspect sessions Established Sessions Session A ( : )=>( : ) ftp-data SIS OPEN Session A AC ( : )=>( : ) ftp SIS OPEN Comanda show ip access-list afişează intrările dinamice creat de ACL extins pe inbound ACL-ului Sunt două intrări dinamice ACL care permit întoarcerea traficului de la server-ul FTP, , pentru clientul FTP, Router# show ip access-list Extended IP access list permit tcp host eq host eq ( matches) permit tcp host eq host eq ( matches)  Pentru rezolvarea problemelor detaliate a CBAC, administratorul poate folosi comenzile debug Cu comenzile debug, administratorul vede în timp real funcţionarea CBAC pe router Comanda debug ip inspect poate inspecta diverse aplicaţii şi alte detalii funcţionare Router# debug ip inspect protocol parameter Numele aplicaţie care să utilizeze pentru inspecţie sunt cuseeme, dns, ftp-cmd, ftp-token, H ,, NetShow http, rcmd, RealAudio, RPC, rtsp, SIP, slab, smtp, sqlnet, streamworks, TFTP, şi vdolive Această ieşire a comenzii debug ip inspect timers cronometre permite unui administrator sa determine, printre altele, atunci când timeout-ul inactiv sunt atins Router# debug ip inspect timers *Mar : : : CBAC* sis A pak C TCP P ack seq ( ) ( : ) => ( : ) *Mar : : : CBAC* sis A ftp L inspect result: PROCESS-SWITCH packet *Mar : : : CBAC sis A pak C TCP P ack seq ( ) ( : ) => ( : ) *Mar : : : CBAC sis A ftp L inspect result: PASS packet *Mar : : : CBAC* sis A pak TCP P ack seq ( ) ( : ) ( : ) *Mar : : : CBAC* sis A ftp L inspect result: PASS packet *Mar : : : CBAC sis C CC pak TCP S seq ( ) ( : ) => ( : ) *Mar : : : CBAC* sis C CC pak E TCP S ack seq ( ) ( : ) Additional Tasks > Zones Pasul Din Zone panel,, faceţi clic pe Add pentru a crea o zonă nouă Pasul Apare fereastră Add a Zone Introduceţi un nume de zonă în câmpul Zone Name Pasul Alegeţi interfeţele pentru această zonă, prin verificarea casetei de selectare dîn faţa numelui interfeţei Deoarece interfeţele fizice pot fi plasate într-o singură zonă, ele nu apar în listă în cazul în care acestea au fost deja alocate unei zone Puteţi plasa interfeţe virtuale, cum ar fi interfeţele Dialer sau interfeţe virtuale Template , în mai multe zone, astfel încât aceste interfeţe sa apara întotdeauna în listă Aşa cum atribuiţi interfeţe la zonele, tineti minte regulile politicii de zona bazate pe de firewall care guvernează comportamentul interfaţei Pasul Faceţi clic pe OK pentru a crea zona, şi faceţi clic pe OK în fereastra Commands Delivery Status După ce o zonă a fost creata, interfeţele care sunt asociate cu zona poate fi schimbate, dar numele zonei nu poate fi schimbat Faceţi clic pe Edit în panoul Zone pentru a alege diferite interfeţe pentru o zonă deja existenta Faceţi clic pe Delete în panoul Zone pentru a elimina o zonă O zonă care este membra a unei perechi de zone nu pot fi ştearsa  Configurare zonelor Class Următorul pas în configurarea ZPF cu SDM este de a configura zone class Zonele class identifica traficul si parametrii de trafic pentru aplicarea politicii Zonele class de Layer şi alege traficul pe baza unor criterii specifice: Access group - Un ACL standard, extins, sau nominal poate filtra traficul pe baza adreselor IP sursa si destinatie, sip e baza porturilor sursa şi destinaţie Protocolul – Zona class poate identifica protocoale din Layer , cum ar fi TCP, UDP si ICMP, şi servicii de nivel Aplicatie, cum ar fi HTTP, SMTP, şi DNS Orice port well-known sau serviciu definit de utilizator cunoscut de Port-to-Application Mapping (PAM) poate fi specificat Zona Class - O categorie de zona subordonată, care prevede criterii suplimentare poate fi inserata în interiorul altei zone class Zonele Class pot aplica match-any sau match-all la toţi operatorii pentru a stabili cum să aplice criteriile În cazul în care este specificat match-any, traficul trebuie să îndeplinească doar unul dintre criterii pentru a face mach cu zona class În cazul în care este specificat match-all, traficul trebuie să faca mach cu toate criteriile zonei class pentru a participa la această clasă Acestia sunt paşii pentru a crea o zona class folosind SDM: Pasul Alegeţi Configure > Additional Tasks > C PL > Class Map > Inspection Pasul Din Inspection Class Maps, faceţi clic pe Add Pasul Introduceţi un nume al zonei class în campul Class Map şi opţional adăuga, o descriere în câmpul Description Selectaţi protocoalele dorite din listă şi faceţi clic pe Addi>> pentru a le adăuga la inspection list pentru această zona class Clasa zonei poate fi revizuita, creata, editata în fereastra Inspect Class Map Zona Class Map Name din ferestra cu lista zonelor class configurate, afişează detaliile zoneii class selectată in partea de jos a ferestrei Dacă este necesar, sa editati o zona class sau sa vedeti mai multe detalii, alegeti zona class din listă şi faceţi click pe Edit  Crearea Politicii de Zona Acum, că zonele class sunt create, este timpul sa cream politica zonei Zonele Class sunt aplicate în cadrul politicii de zona Politica zonei specifica acţiunile care trebuie luate atunci când traficul face mach cu criteriile puse O politica de zona asociaza acţiuni traficului class Inspecţia politicii de zona specifica acţiunea pe care router-ul trebuie sa o ia cu traficul care face mach cu criteriile asociate zonelor class Acestea sunt acţiunile pe care le sprijină o politică de zona: Pass - Traficul este lasat să treacă de la o zonă la alta numai într-o singură direcţie Router-ul nu monitorizează starea conexiunii sau a sesiunii Drop - router arunca traficul nedorit şi se poate conecta opţional la eveniment Inspect - router menţine sesiunea state-based si conecteaza informaţiile, astfel încât router-ul sa permita traficului sa se întorca dintr-o zona de destinaţie in zonă sursă Acestia sunt paşii pentru a crea o politică de zona folosind SDM: Pasul Alegeţi Configure > Additional Tasks > C PL > Policy Map > Protocol Inspection Pasul Din Protocol Inspection Policy Maps, faceţi clic pe Add Pasul Introduceţi un nume de politică în campul Policy Name şi adăugati opţional, o descriere în câmpul Description Numele şi descrierea pe care le introduceţi vor fi vizibile în fereastra Protocol Inspect Policy Maps Pasul Coloanele Class Map şi Action vor afişa zonele class care sunt asociate cu această politică de zona, şi acţiunea pe care routerul o ia pentru traficul care descrie zona class Faceţi clic pe Add pentru a adăuga o zona class nouă la lista şi pentru a configura acţiunea Pasul Asociati Clasa zonei in fereastra care apare În câmpul Class Name, introduceţi numele zonei class la care să se aplice Dacă numele zonei class este necunoscut, sau o zona class nouă trebuie să fie creată, faceţi click pe săgeata în jos din dreapta câmpului Class Name Apare un meniu pop-up pentru a adăuga o zona class, a alege o zona class sau a alege ozona class implicita Pasul După selectarea zonei class, definti acţiunea pe care politica zonei o ia cu traficul care face mach cu această zona class Din secţiunea Action, alegeţi Pass, Drop, sau Inspect functie de nevoile special pentru această zona class Pasul Faceţi clic pe OK Pasul Pentru a adăuga o altă zonei class la politică, faceţi clic pe Add Pentru a modifica acţiunile intr-o zona class existenta, alege zona class din lista Class Map şi faceţi clic pe Edit Pentru a şterge o zona class, alege zona class din lista Class Map şi faceţi clic pe Delete Utilizaţi butoanele Move Up şi Move Down pentru a modifica ordinea în care zonele class sunt evaluate Pasul Faceţi clic pe OK in fereastra Command Delivery Status  Definirea Zonelor pereche O zonă-pereche permite o politică de firewall unidirecţionala între două zone de securitate care urmează să fie specificate Direcţia traficului este determinată prin specificarea sursei şi destinaţiei zonei de securitate Aceeaşi zonă nu poate fi definită ca fiind si sursă şi destinaţie În cazul în care intenţia este ca traficul sa se faca în ambele sensuri între două zone, atunci trebuie să fie creata o pereche de zone pentru fiecare direcţie În cazul în care intenţia este ca traficul sa circule liber între toate interfeţele, fiecare interfaţă trebuie să fie configurata într-o zonă Acestia sunt paşii pentru configurarea o pereche zonă noua folosind SDM: Pasul Alegeţi Configure > Additional Tasks > Zone Pairs Pasul În panoul Zone Pairs, faceţi clic pe Add Se adauga o pereche de zone fereastră Pasul În campul Zone Pair, introduceţi un nume zonei pereche Alegeţi o zonă sursă din care provine traficul, o zona de destinaţie unde traficul este trimis, si o politica care determină ce trafic poate fi trimis in zone Zona sursă şi zona destinaţie din liste conţin zonele care sunt configurate pe router şi zona self Zona self poate fi utilizata atunci când configuram perechile zona pentru traficul provenind de la router-ul propriu, sau destinate router-ului propriu, cum ar fi o pereche de zone care este configurat pentru traficul SNMP Lista conţine numele fiecarei politici de zona care este configurata pe router Pasul Faceţi clic pe OK în fereastra Add a Zone Pair, şi faceţi clic pe OK în fereastra Command Delivery Status Pasul Pentru a edita o pereche de zone, în panoul Zone Pairs alege perechea zonă ca să o editaţi şi faceţi clic pe Edit În cazul în care editati o pereche de zone, politica zonei poate fi schimbata, dar numele , zonelor sursă sau destinaţie nu poate fi schimbate   Basic Firewall wizard of Cisco SDM ajută la punerea în aplicare a unui firewall Programul trece prin crearea de firewall, cerând informaţii despre interfeţele router-ului, precum şi dacă intenţia este de a configura o reţea DMZ, şi ce reguli sa utilizeze în firewall Acestia sunt paşii pentru accesarea lui Basic Firewall Configuration wizard folosind SDM: Pasul De la Cisco SDM, alegeţi Configure > Firewall and ACL Pasul În tabelul Create Firewall, faceţi clic pe opţiunea Basic Firewall şi faceţi clic pe butonul Launch the Selected Task Pasul Apare fereastra Basic Firewall Configuration Wizard Faceţi clic pe Next pentru a începe configurarea Dacă nu există un CBAC configurat pe router, este creata o zona firewall zone-based policy de Basic or Advanced Firewall wizards  Prima sarcină in configurarea unui firewall este de a defini interfeţele inside (de încredere) şi outside (nesigure) Interfaţă outside (nesigura) este de obicei interfata router-ului care este conectat la Internet sau la un WAN Interfata inside (de încredere), este de obicei o interfaţă fizică sau logică care se conectează la LAN Este posibil să selectaţi mai multe interfeţe inside şi outside Acestia sunt paşii pentru configurarea unui firewall folosind Basic Firewall Configuration wizard: Pasul Din fereastra de configurare Basic Firewall Interface Configuration, verificati caseta de selectare outside (untrusted) şi inside (trusted) pentru a identifica fiecare interfaţă daca este outside sau inside Interfeţele outside sunt conectate la WAN-ul unei organizaţii sau la Internet Interfeţe inside sunt conectate la LAN Poate fi ales mai mult de o interfata din fiecare Pasul (Opţional) Verificaţi caseta de selectare Allow Secure Cisco SDM Access From Outside Interfaces dacă intenţia este de a permite accesul utilizatorilor din afara firewall-ului la router folosind Cisco SDM Alegerea acestei opţiuni permite accesul HTTP securizat pe interfaţa outside (untrusted) Deoarece este o conexiune sigură Cisco SDM la firewall, nu este posibila navigarea in exteriorul (încredere) interfaţei prin intermediul HTTP după ce programul wizard firewall a completat configurarea După ce faceţi click pe Next, programul afişează un ecran care permite administratorului sa specifice o adresa IP gazda sau o adresă de reţea Firewall-ul este modificat pentru a permite accesul la adresa specificata Pasul Faceţi clic pe Next În cazul în care caseta de selectare Allow Secure SDM Access From the Outside Interfaces este bifată, apare fereastra Configuring Firewall for Remote Access Pasul Specificaţi sursa hostului sau a reţelei din care este permisa gestionarea de la distanţă a routerului Cisco de catre SDM Alegeţi din lista Network address, Host IP address sau any din lista Type, şi apoi completaţi adresa IP si Subnet Mask, după caz,  După configurare interfaţei, apare fereastra Basic Firewall Security Configuration Cisco SDM prevede aplicarea politicilor de securitate preconfigurate care pot fi folosite pentru a proteja reţeaua Utilizaţi cursorul pentru a selecta nivelul de securitate dorit şi pentru a vizualiza o descriere a garanţiei care o oferă În fereastra Basic Firewall Security Configuration, faceţi clic butonul Preview Commands pentru a vizualiza comenzile Cisco IOS care alcătuiesc politica selectata Router-ul trebuie să fie configurat cu adresa IP a cel puţin unui server DNS pentru ca aplicaţiile să lucreze in deplina securitate După ce a fost selectat nivelul de securitate dorit, faceţi clic pe Next  Fereastra Firewall Configuration Summary afişează numele politicii alese, SDM HIGH, SDM MEDIUM, sau SDM LOW, precum şi conditiile din configurare ale politicii Faceţi clic pe Finish pentru a finaliza configurarea Comenzilor executate de către Basic Firewall wizard sunt adesea destul de lungi Configuraţiile create de wizard tind să fie mult mai completă decât cele create manual din CLI sau din configurare SDM    După crearea zone-based policy firewall, se examinează zona în SDM prin alegerea Configure > Firewall and ACL şi făcând clic pe fila Edit Firewall Policy Se afişează un punct de vedere grafic al firewall în contextul interfeţelor router-ului De asemenea, este posibil să se modifice firewall-ul din această fereastră Comenzile CLI generate pentru un firewall ZPF de două interfaţă cu parametrii de control impliciti că nu sunt asa lungi De obicei, protocoale cum ar fi HTTP, SMTP şi FTP sunt inspectate în acest tip de scenariu O politică de zona aplică o inspecţie dinamică la aceste protocoale enumerate într-o zona class Sunt create două zone, cum ar fi una private şi cealalta internetul, Interfaţa inside este membră a zonei private, şi interfaţa WAN este un membra a zona Internet În sfârşit, este creata o pereche zonă, cum ar fi privat-la-Internet, Aceasta pereche are o zonă sursă cea privata,si o zona de destinaţie formata din Internet, şi politica zoneise aplică la acesta pereche  În cazul în care un router Cisco IOS ruleaza o imagine care acceptă ZPF, SDM acesta poate fi folosit pentru a afişa starea activităţii de firewall pentru fiecare pereche de zona care este configurata pe router Pentru a afişa informaţii despre starea firewall-ul, alegeti Monitor > Firewall Status Listă politicilor de zona firewall policy afişează numele politicii, zona sursă, şi zona destinaţie pentru fiecare pereche de zonă Alegeţi una dintre următoarele opţiuni pentru a specifica modul în care datele ar trebui colectate: Real-time data every sec - Datele sunt raportate la fiecare secunde Fiecare bifă pe axa orizontală in graficul Dropped Packets and Allowed Packets reprezintă secunde minutes of data polled every minute Datele sunt raportate în fiecare minut Fiecare bifă pe axa orizontală in graficul Dropped Packets and Allowed Packets reprezinta minut hours of data polled every minutes - Datele sunt raportate la fiecare minute Fiecare bifă pe axa orizontală in graficul Dropped Packets and Allowed Packets reprezintă minute  Utilizaţi comanda show policy-map type inspect zone-pair session pentru examina activitatea conexiunilor în tabelul de stare ZPF Ieşire următoare arată conexiunile active de la la pe portul Router#show policy-map type inspect zone-pair session Zone-pair: CNS-PAIR Service-policy inspect : HTTP-Policy Class-map: HTTP-Class (match-all) Match: access-group Match: protocol http Inspect Established Sessions Session BCF ( : )=>( : ) http SIS OPEN Created : : , Last heard : : Bytes sent (initiator:responder) [ : ] Session BB C ( : )=>( : ) http SIS OPEN Created : : , Last heard : : Bytes sent (initiator:responder) [ : ] Session BD ( : )=>( : ) http SIS OPEN Created : : , Last heard : : Bytes sent (initiator:responder) [ : ] Session BBF ( : )=>( : ) http SIS OPEN Created : : , Last heard : : Bytes sent (initiator:responder) [ : ] Class-map: class-default (match-any) Match: any Drop (default action) packets, bytes Cisco IOS Zone-Based Policy Firewall oferă o schema de configurare Ceea ce a început cu TCP înfiinţatat în anul a evoluat într-un set bogat de tehnologii pentru securizarea reţelelor Dar firewall-ul singur nu poate oferi o soluţie de securitate completă Alte tehnologii sunt necesare pentru a construi o infrastructura securizata Prevenire accesului neautorizat in reţea este o altă tehnologie de securitate care este necesar pentru a sprijini firewall de reţea Prevenirea intruziunilor este un drum lung spre închiderea oricori lacune in securitate într-o reţea modernă         